En la era de los cryptolockers, ¿es posible evitar que Windows modifique su partición de Linux?

A menos que la virtualización evite físicamente que el sistema operativo vea el dispositivo como tal (por ejemplo, el "disco" es realmente un VHDX o similar), la respuesta es "sí, por supuesto". No hay nada especial necesario para eso, y nada que puedas hacer para evitar que suceda, una vez que el malware haya obtenido privilegios de administrador.

No sabría de memoria cómo abrir el dispositivo en Windows (¿algo como \device\harddisk1 o algo así?), pero estoy seguro de que he sobrescrito el dispositivo en bruto en Linux más de una vez. Algo como cat /dev/random > /dev/sda ha estado "funcionando bien" para, como ... siempre , suponiendo que hayas iniciado sesión como root . Eso es borrado seguro de un hombre pobre a falta de algo mejor.

Instalar un cargador de arranque (que es la parte 1 del ransomware) no es más que hacer eso, solo con datos no tan aleatorios. Sobrescriba el cargador de arranque con un binario suyo que muestre el texto "pay me, sucker".
Tenga en cuenta que este cargador de arranque (ni la parte de cifrado / descifrado, si existe una parte de descifrado) debe poder acceder a la partición o al sistema de archivos de manera significativa.

La encriptación (o la confusión, el usuario no puede realmente decir una diferencia) es la segunda parte, y eso es igualmente fácil. Si puede escribir un cargador de arranque, puede escribir sectores. Entonces, en lugar de archivos, encripte sectores en el dispositivo en bruto. ¿A quién le importa la estructura lógica dentro de esos sectores cuando puede hacerlos inutilizables de cualquier manera? ¿Diferente tipo de partición, diferente sistema de archivos? No podría importarte menos. Alguien que quiera utilizarlos necesita saberlo, no necesita saberlo.
Esto es algo que el malware puede hacer en unos pocos segundos, ni siquiera es necesario ser secreto o súper inteligente. No es necesario mantener un perfil bajo para evitar la detección. Cuando el usuario note la luz parpadeante furiosa en la computadora y se pregunte qué puede estar pasando, el malware ya habrá sobrescrito cientos de megabytes (docenas de gigabytes) de datos. Si el escritor de malware solo posee una cantidad mínima de inteligencia, esto es suficiente para sobrescribir los metadatos del sistema de archivos en cada partición , incluidos los metadatos de respaldo en sus respectivas compensaciones conocidas, y un par de cientos de megabytes de archivos reales contenidos.
Ciertamente, con solo los metadatos sobrescritos, en principio todavía es posible recuperar el contenido de los archivos que aún no se han sobrescrito, pero esto es una cosa excesivamente costosa y mucho más allá de las capacidades del usuario promedio (y puede ser imposible para pequeños archivos en algunos sistemas de archivos).

Ni siquiera necesita cifrar adecuadamente, también puede sobrescribir sectores con datos basura. El usuario no puede notar una diferencia, solo se dan cuenta después de haber pagado si son tan estúpidos como para pagar a un delincuente con la esperanza de que el delincuente cumpla su palabra .

Entonces ... sí, técnicamente esto no supone ningún problema (para la mayoría de las computadoras que son propiedad de la mayoría de las personas).

Versión corta: Probablemente no , asumiendo que el virus es capaz de montar la partición por sí solo.

Versión larga : en una computadora en la que tienes particiones separadas, Windows y Linux no están "conscientes" de que la otra partición contiene un sistema operativo diferente. podrían entenderlo, pero si lo deseas, puedes montar la partición como cualquier otro y modificar el sistema de archivos.

Si puedes hacerlo por tu cuenta, no hay forma de impedir que un virus lo haga, suponiendo que sea capaz de verificar si hay particiones sin montar para montar. Su única apuesta real es esperar que no pueda hacer eso o poner sus sistemas operativos en discos separados, que tendría que eliminar cuando abra Windows.

Con un poco de suerte, el nuevo sistema de Windows 10 evitaría un ataque de este tipo, pero no se sabe con seguridad.

SÍ.

Las piezas técnicas necesarias para hacer esto están disponibles hoy (y han estado, por algunos años). De hecho, grub (uno de los cargadores de arranque más populares en Linux) viene con soporte para muchos sistemas de archivos en una pieza muy pequeña de código. Para una persona capaz de escribir cryptolockers (usarlo como un término genérico) sin copiar y pegar, no es un gran problema.

Si aún no lo han hecho, se hará (ingresando al reino de las predicciones, lo siento) tan pronto como alguien piense que es útil. FWIW, los autores de malware deben mantener su código lo más compacto posible (tanto en tamaño como en comportamiento) para evadir la detección, por lo que podría ser un factor posible en su contra.

Los escenarios en los que múltiples sistemas operativos coexisten en el mismo equipo son la virtualización y el arranque múltiple.

En el caso de la virtualización de tipo 1 (no hay máquina host, también conocida como virtualización completa), los sistemas están aislados entre sí a través del sistema de virtualización.

En el caso de la virtualización de tipo 2 (una máquina host y máquinas invitadas virtualizadas), una máquina invitada no puede acceder directamente a los archivos en la máquina host. Por otro lado, la máquina host puede cifrar todo el sistema de archivos de la máquina invitada. De todos modos, como el sistema de archivos de la máquina invitada es un archivo en sí mismo en la máquina host, no es un caso diferente del malware cryptolocker real.

Finalmente, para el esquema de arranque múltiple. Un malware puede montar otras particiones del sistema de la misma manera que lo hace el usuario y cifrar los archivos (¡O incluso la partición completa sin montar!). Pero la protección para este escenario es mucho más difícil de lograr.

Cada sistema operativo maneja los permisos otorgados por sí mismo, eso es si el usuario inicia un sistema Linux y monta una partición de Windows, los permisos del sistema de Windows no se conservan y viceversa.

Si la restricción se implementara en la capa del sistema operativo, un usuario o proceso podría omitirla o eliminarla con suficientes privilegios. Por lo tanto, debe ser controlado por algún elemento fuera del control del sistema operativo.

AFAIK, UEFI no ofrece protecciones para el escenario que describe, pero tiene conocimiento de las particiones disponibles y funciona como una capa de abstracción para comunicarse con el hardware. Así que creo que los permisos podrían implementarse allí, pero tal vez requiera cambios en la arquitectura.

Dicho esto, los sistemas de arranque múltiple IMO son algo que tiene una cantidad limitada de usuarios finales y no algo que tienen la mayoría de las computadoras (la mayoría de los usuarios finales y entornos empresariales). Un malware con las capacidades que mencionas parece demasiado complejo para un objetivo tan pequeño.

La única protección posible es la regla de menor privilegio. Si el ranswomware puede obtener el privilegio de administrador (o el privilegio para escribir en una partición de disco sin procesar) en una máquina, podrá hacer cualquier cosa en cualquier disco. Ni siquiera necesita entender qué sistema de archivos se encuentra allí ni montar la partición, sino simplemente cifrar todo a nivel de sector. AFAIK, todavía es poco común que los cryptolockers intenten acceder a particiones Raw Dist, pero como no es muy difícil de hacer, a excepción de la pregunta de privilegio, podría agregarse si alguien malvado cree que vale la pena.