Jaki jest możliwy wpływ ransomware „Wanna Cry” na użytkowników Linuksa?

64

Właśnie wyszło na jaw, że musisz zapłacić okup w wysokości 300 USD, ponieważ oprogramowanie ransomware atakujące Microsoft Windows zaszyfrowało Twoje dane. Jakie kroki muszą chronić użytkownicy Linuksa przed tym, jeśli na przykład używają wina?

To oprogramowanie ransomware jest powszechnie zgłaszane jako oparte na narzędziu opracowanym przez NSA w celu włamania się do komputerów. Narzędzie NSA było używane przez grupę hakerów o nazwie Shadow Brokers . Kod można znaleźć w Github .

Firma Microsoft wydała łatkę ( MS17-010 ) przeciwko tej usterce 14 marca 2017 r. Doniesiono, że masowa infekcja zaczęła się rozprzestrzeniać 14 kwietnia. Zostało to omówione tutaj .

Ponieważ nie uruchomiłem systemu Windows 8.1 w ciągu 6-8 tygodni, czy mogę zastosować tę poprawkę z systemu Ubuntu bez uprzedniego uruchomienia systemu Windows? (Po przeprowadzeniu badań możliwe, że ClamAV może zgłosić lukę po stronie Linuksa, patrząc na partycję Windows, ale jest mało prawdopodobne, aby zastosowała łatkę. Najlepszą metodą byłoby ponowne uruchomienie systemu Windows i zastosowanie poprawki MS17-010.)

Osoby i małe firmy, które subskrybują Aktualizacje automatyczne Microsoft, nie są zainfekowane. Większe organizacje, które opóźniają stosowanie poprawek podczas testowania ich w intranetach organizacji, są bardziej narażone na infekcję.

13 maja 2017 r. Microsoft podjął niezwykły krok, wydając łatkę na system Windows XP, która nie była obsługiwana przez 3 lata.

Żadnego słowa, jeśli wine ma coś wspólnego z aktualizacją zabezpieczeń. W komentarzu poniżej podano, że Linux może zostać zainfekowany również wtedy, gdy użytkownicy uruchamiają wino .

„Przypadkowy bohater” zarejestrował nazwę domeny, która działała jako kill-switch do ransomware. Zakładam, że nieistniejąca domena była wykorzystywana przez hakerów w ich prywatnym intranecie, więc nie zarażali się. Następnym razem będą mądrzejsi, więc nie polegaj na obecnym przełączniku zabijania. Najlepszą metodą jest zainstalowanie poprawki Microsoft, która zapobiega wykorzystaniu luki w protokole SMBv1.

14 maja 2017 r. Red Hat Linux powiedział, że nie dotyczy ich oprogramowanie ransomware „Wanna Cry”. Może to wprowadzać w błąd użytkowników Ubuntu wraz z użytkownikami Red Hat, CentOS, ArchLinux i Fedora. Red Hat obsługuje wino, na które odpowiedzi poniżej potwierdzają. Zasadniczo Ubuntu i inni użytkownicy dystrybucji systemu Linux googlujący ten problem mogą zostać wprowadzeni w błąd przez odpowiedź Red Hat Linux Support tutaj .

Aktualizacja z 15 maja 2017 r. W ciągu ostatnich 48 godzin firma Microsoft wydała łatki o nazwie KB4012598 dla systemów Windows 8, XP, Vista, Server 2008 i Server 2003 w celu ochrony przed oprogramowaniem ransomware „Wanna Cry”. Te wersje systemu Windows nie są już objęte automatycznymi aktualizacjami. Chociaż wczoraj zastosowałem aktualizację zabezpieczeń MS17-010 na mojej platformie Windows 8.1, mój stary laptop Vista nadal wymaga pobrania i aktualizacji KB4012598.


Uwaga moderatora: To pytanie nie jest tematem - pyta, czy użytkownicy Linuksa muszą podjąć jakieś kroki w celu ochrony przed ryzykiem.

Jest tutaj doskonale na ten temat, ponieważ dotyczy Linuksa (którym jest Ubuntu), a także dotyczy użytkowników Ubuntu korzystających z Wine lub podobnych warstw kompatybilności, a nawet maszyn wirtualnych na swoich maszynach z systemem Linux Ubuntu.

WinEunuuchs2Unix
źródło
1
„VBA, który LibreOffice zaczyna obsługiwać w wersji beta?” jest interesujący. Czy możesz dodać link do tego? Czy byłoby to help.libreoffice.org/Common/VBA_Properties ?
DK Bose
1
@DKBose Dodałem link i usunąłem odniesienie „beta”. IIRC VBA jest obsługiwany, ale z ograniczeniami. Osobiście korzystałem tylko z natywnego języka BASIC LO.
WinEunuuchs2Unix
4
Proszę ponownie sformułować swoje „pytanie”, aby uniknąć sugerowania, że ​​oprogramowanie ransomware jest produktem firmy Microsoft (ciągle używasz tego oprogramowania do wskazania zaborczości). Jest to atak wymierzony raczej w produkt Microsoft.
dobey
2
Czy nie powinno być tak w Uniksie i Linuksie, ponieważ nie jest ono specyficzne dla Ubuntu?
Ceda EI
2
cóż, jest sposób. możesz pobrać poprawkę, zapisać ją na partycji Windows, odłączyć od sieci i uruchomić ponownie w systemie Windows, aby zainstalować ją przed ponownym podłączeniem sieci.
Carlos Manuel Escalona Villeda

Odpowiedzi:

57

Jeśli to pomaga i uzupełnia odpowiedź Rinzwinda , najpierw pytania:

1. Jak się rozprzestrzenia?

Poprzez e-mail. Wpłynęło to na 2 przyjaciół. Wysyłają do mnie wiadomość e-mail w celu przetestowania w nadzorowanym środowisku, więc w zasadzie musisz otworzyć wiadomość e-mail, pobrać załącznik i uruchomić go. Po początkowym zanieczyszczeniu systematycznie sprawdza sieć, aby zobaczyć, kogo jeszcze można dotknąć.

2. Czy mogę uzyskać wpływ używania Wine?

Krótka odpowiedź: tak. Ponieważ Wine emuluje prawie każde zachowanie środowiska Windows, robak może faktycznie próbować znaleźć sposób, w jaki może wpłynąć na ciebie. Najgorszym scenariuszem jest to, że w zależności od bezpośredniego dostępu wina do twojego systemu Ubuntu, wpłynie to na niektóre lub wszystkie części twojego domu (nie w pełni to przetestowałem. Zobacz odpowiedź 4 poniżej), chociaż widzę tutaj wiele przeszkód dla jak zachowuje się robak i jak będzie próbował zaszyfrować partycję / pliki typu non-NTFS / Fat oraz jakie uprawnienia administratora innego niż administrator musiałby to zrobić, nawet pochodzące z Wine, więc nie ma pełnych mocy, jak w Windowsie. W każdym razie lepiej jest grać po bezpiecznej stronie.

3. Jak mogę przetestować to zachowanie, gdy otrzymam wiadomość e-mail, która go zawiera?

Mój pierwszy test, który obejmował 4 kontenery VirtualBox w tej samej sieci, zakończył się za 3 dni. Zasadniczo w dniu 0 celowo zanieczyściłem pierwszy system Windows 10. Po 3 dniach wszystkie 4 zostały zaatakowane i zaszyfrowane komunikatem „Whoops” o szyfrowaniu. Z drugiej strony nigdy nie miało to wpływu na Ubuntu, nawet po utworzeniu folderu współdzielonego dla wszystkich 4 gości, który znajduje się na pulpicie Ubuntu (poza Virtualbox). Nigdy nie wpłynęło to na folder i pliki w nim zawarte, dlatego mam wątpliwości co do Wine i tego, jak się na nim rozprzestrzeniać.

4. Czy przetestowałem to na Wine?

Niestety tak zrobiłem (miałem już kopię zapasową i przeniosłem krytyczne pliki zadań z pulpitu przedtem). Zasadniczo mój pulpit i folder z muzyką były skazane na zagładę. Nie wpłynęło to jednak na folder, który miałem na innym dysku, być może dlatego, że nie był wtedy montowany. Teraz, zanim damy się ponieść emocjom, musiałem uruchomić wino jako sudo, aby to zadziałało (nigdy nie uruchamiam wina z sudo). Tak więc w moim przypadku, nawet w przypadku sudo, dotyczyło to tylko pulpitu i folderu muzyki (dla mnie).

Pamiętaj, że Wine ma funkcję integracji pulpitu, ponieważ nawet jeśli zmienisz dysk C: na coś w folderze Wine (zamiast domyślnego dysku c), nadal będzie on mógł uzyskać dostęp do folderu domowego Linux, ponieważ jest mapowany na twój folder domowy na dokumenty, filmy, pobieranie, zapisywanie plików gry itp. To musiało zostać wyjaśnione, ponieważ wysłałem film o użytkowniku testującym WCry, a on zmienił Dysk C na „dysk_c”, który znajduje się w ~ / .wine folder, ale nadal miał wpływ na folder domowy.

Moje zalecenie, jeśli chcesz uniknąć lub przynajmniej zmniejszyć wpływ na folder domowy podczas testowania z winem, to po prostu wyłącz następujące foldery, wskazując je na ten sam folder niestandardowy w środowisku wina lub na jeden fałszywy folder w innym miejscu.

wprowadź opis zdjęcia tutaj

Korzystam z 64-bitowego systemu Ubuntu 17.04, partycje to Ext4 i nie mam żadnych innych środków bezpieczeństwa poza instalowaniem Ubuntu, formatowaniem dysków i aktualizowaniem systemu każdego dnia.

Luis Alvarado
źródło
26

Jakie kroki muszą chronić użytkownicy Linuksa przed tym, jeśli na przykład używają wina?

Nic. Cóż, może nie nic, ale nic więcej. Obowiązują normalne zasady: regularnie wykonuj kopie zapasowe swoich danych osobowych. Przetestuj również swoje kopie zapasowe, aby wiedzieć, że możesz je przywrócić w razie potrzeby.

Ważne uwagi:

  1. Wino to nie Windows. Nie używaj wina do:

    1. otwarte maile,
    2. otwórz linki Dropbox
    3. przeglądać sieć.

      Te 3 są sposobem, w jaki wydaje się rozprzestrzeniać na maszyny. Jeśli musisz to zrobić, użyj virtualbox z normalną instalacją.
  2. Wykorzystuje również szyfrowanie, a szyfrowanie w systemie Linux jest znacznie trudniejsze niż w systemie Windows. Jeśli to złośliwe oprogramowanie będzie w stanie dotknąć twojego systemu Linux, w najgorszym wypadku Twoje osobiste pliki $homezostaną naruszone. Więc po prostu przywróć kopię zapasową, jeśli tak się stanie.


Żadnego słowa, jeśli wine ma coś wspólnego z aktualizacją zabezpieczeń.

To nie jest problem z winem. „Naprawianie” oznaczałoby, że musisz użyć składników systemu Windows, które to naprawiły. Lub użyj skanera antywirusowego do wina, który może wykryć to złośliwe oprogramowanie. Samo wino nie może zapewnić żadnej formy naprawy.

Znowu: chociaż wino może być użyte jako wektor ataku, nadal musisz robić rzeczy jako użytkownik, którego nie powinieneś robić od wina, aby się zarazić: musisz użyć wina, aby otworzyć złośliwą stronę internetową, złośliwy link w wiadomości e-mail. Już nigdy nie powinieneś tego robić, ponieważ wino nie jest objęte żadną formą ochrony przed wirusami. Jeśli potrzebujesz takich rzeczy, powinieneś używać systemu Windows w wirtualnym pudełku (z aktualnym oprogramowaniem i skanerem wirusów).

A kiedy zarazisz się winem: wpłynie to tylko na twoje pliki. Twój /home. Naprawiasz to, usuwając zainfekowany system i przywracając kopię zapasową, którą wszyscy już wykonaliśmy. To wszystko od strony Linuksa.

Och, kiedy użytkownik nie jest „tak inteligentny” i używa sudowina, jest to problem UŻYTKOWNIKA. Nie wino.

Jeśli cokolwiek: sam jestem już przeciwny używaniu wina do czegokolwiek. Korzystanie z podwójnego rozruchu bez interakcji między systemem Linux i Windows lub korzystanie z wirtualnego pudełka z aktualnym systemem Windows i korzystanie ze skanera antywirusowego znacznie przewyższa wszystko, co może zaoferować wino.


Niektóre firmy, których to dotyczy:

  • Telefonia.
  • Fedex.
  • National Health Services (Wielka Brytania).
  • Deutsche Bahn (niemiecka kolej).
  • Q-park (Europa. Usługa parkowania).
  • Renault.

Wszystkie używane niepakowane systemy Windows XP i Windows 7. Najgorszym był NHS. Używają systemu Windows na sprzęcie, na którym nie mogą uaktualnić systemów operacyjnych (...) i musieli poprosić pacjentów, aby przestali przychodzić do szpitali i zamiast tego używali ogólnego numeru alarmowego.

Do tej pory ani jedna maszyna korzystająca z systemu Linux, ani jedna maszyna korzystająca z wina nie została zainfekowana. Czy można to zrobić? Tak (nawet „prawdopodobnie”). Ale wpływ byłby prawdopodobnie pojedynczą maszyną i nie miałby efektu kaskadowego. Potrzebują do tego naszego hasła administratora. Tak więc „my” nie interesują tych hakerów.

Jeśli chcesz się z tego czegoś nauczyć ... przestań używać systemu Windows do obsługi poczty i innych działań internetowych na serwerze firmy . I nie, skanery antywirusowe NIE są odpowiednim narzędziem do tego: aktualizacje wirusów są tworzone PO znalezieniu wirusa. To jest za późno.

Sandbox Windows: nie zezwalaj na udostępnianie. Zaktualizuj te komputery. - Kup - nowy system operacyjny, gdy Microsoft może wykonać wersję. Nie używaj pirackiego oprogramowania. Firma nadal korzystająca z systemu Windows XP prosi, aby tak się stało.


Zasady naszej firmy:

  • Użyj Linuksa.
  • Nie używaj udziałów.
  • Użyj hasła bezpiecznego i nie zapisuj haseł poza sejfem.
  • Użyj poczty online.
  • Użyj pamięci online na dokumenty.
  • Używaj Windowsa w virtualboxie tylko do rzeczy, których Linux nie może zrobić. Mamy niektóre sieci VPN, z których korzystają nasi klienci, tylko Windows. Możesz przygotować vbox i skopiować go, gdy znajdziesz w nim całe potrzebne oprogramowanie.
  • Systemy Windows używane w naszej firmie (np. Notebooki osobiste) nie są dozwolone w sieci firmowej.
Rinzwind
źródło
Tak, obowiązują normalne zasady: rób regularne kopie zapasowe swoich danych osobowych. Przetestuj również swoje kopie zapasowe, aby wiedzieć, że możesz je przywrócić w razie potrzeby.
sudodus
2
Potwierdzony przez znajomego z mojej firmy zajmującej się cyberbezpieczeństwem: Wine może być wektorem infekcji, jeśli twój system plików jest niebezpiecznie współdzielony z mocowaniem wirtualnego dysku Wine. Chociaż jest to złe i rzadkie, ludzie używający Wina powinni być bardzo ostrożni, a ci, którzy nie używają Wina, powinni być mniej zaniepokojeni (ale nadal ostrożni - tu oczywiście obowiązuje Sense)
Thomas Ward
Czy złośliwe oprogramowanie szyfruje tylko lokalne pliki? Co się stanie, jeśli mam udział samby i zamontuję go na komputerze z systemem Windows? Czy pliki zostaną zaszyfrowane również na dysku sieciowym? Istnieje również inne ryzyko. Odkryto lukę, w której użytkownik nie musi otwierać i uruchamiać załącznika. Wystarczy, że skaner złośliwego oprogramowania systemu Windows skanuje specjalnie spreparowany plik ( pcworld.com/article/3195434/security/… , technet.microsoft.com/en-us/library/security/4022344 ). Na szczęście jest łatka.
nikt
1
@ WinEunuuchs2Unix ogólnym pomysłem jest ich przywrócenie. Do innej lokalizacji niż bieżące pliki.
Rinzwind
15

To złośliwe oprogramowanie rozprzestrzenia się w dwóch etapach:

  • Po pierwsze, za pomocą dobrych załączników e-mail: użytkownik systemu Windows otrzymuje wiadomość e-mail z dołączonym plikiem wykonywalnym i uruchamia ją. Tutaj nie występuje luka w zabezpieczeniach systemu Windows; po prostu niezdolność użytkownika do uruchamiania pliku wykonywalnego z niezaufanego źródła (i ignorowanie ostrzeżenia z oprogramowania antywirusowego, jeśli takie istnieje).

  • Następnie próbuje zainfekować inne komputery w sieci. Właśnie tam zaczyna się luka w zabezpieczeniach systemu Windows: jeśli w sieci znajdują się podatne na ataki maszyny, złośliwe oprogramowanie może je wykorzystać do zainfekowania ich bez żadnej akcji ze strony użytkownika .

W szczególności, aby odpowiedzieć na to pytanie:

Ponieważ nie uruchomiłem systemu Windows 8.1 w ciągu 6-8 tygodni, czy mogę zastosować tę poprawkę z systemu Ubuntu bez uprzedniego uruchomienia systemu Windows?

Tę lukę można zainfekować tylko wtedy, gdy w sieci znajduje się już zainfekowana maszyna. Jeśli tak nie jest, można bezpiecznie uruchomić wrażliwy system Windows (i od razu zainstalować aktualizację).

Nawiasem mówiąc, oznacza to również, że korzystanie z maszyn wirtualnych nie oznacza, że ​​możesz być nieostrożny. Zwłaszcza jeśli jest on bezpośrednio podłączony do sieci (sieci zmostkowanej), maszyna wirtualna Windows zachowuje się jak każda inna maszyna Windows. Możesz się nie przejmować, jeśli zostanie zainfekowany, ale może również zainfekować inne maszyny z systemem Windows w sieci.

fkraiem
źródło
W szczególności łatka, którą chcesz zastosować, jest zgodna zMS17-010 : symantec.com/connect/blogs/… github.com/RiskSense-Ops/MS17-010 i renditioninfosec.com/2017/05/…
WinEunuuchs2Unix
0

Na podstawie tego, co wszyscy napisali i mówili już na ten temat:

Oprogramowanie ransomware WannaCrypt nie jest kodowane do pracy w systemie innym niż Windows (nie dotyczy Windows 10), ponieważ jest oparte na exploicie NSA Eternal Blue, który wykorzystuje naruszenie bezpieczeństwa systemu Windows.

Uruchamianie Wine w systemie Linux nie jest niebezpieczne, ale możesz się zarazić, jeśli używasz tego oprogramowania do pobierania, wymiany wiadomości e-mail i przeglądania stron internetowych. Wine ma dostęp do wielu ścieżek do folderów / home, co umożliwia złośliwemu oprogramowaniu szyfrowanie danych i „zainfekowanie” ciebie w jakiś sposób.

W skrócie: O ile cyberprzestępcy celowo nie zaprojektują WannaCrypt, aby wpływał na systemy operacyjne oparte na Debianie (lub innych dystrybucjach Linuksa), nie powinieneś martwić się tym tematem jako użytkownik Ubuntu, chociaż warto pamiętać o cyber-wątkach.

dorycki
źródło
Sophos zapewnia dostęp do antywirusa linux, który jest bezpłatny do celów niekomercyjnych. Chociaż nie szukałem, spodziewałbym się, że został zaktualizowany dla tego oprogramowania ransomware. sophos.com/en-us/products/free-tools/…
Mark
Sophos działa w linii poleceń z interfejsem ręcznym. Miałem na myśli rzeczywisty program zdolny do samodzielnego uruchamiania i skanowania plików, bez konieczności uruchamiania skanowania przez użytkownika. Po wykryciu zagrożenia oprogramowanie może Cię ostrzec i zapytać, co z tym zrobić.
Dorian
To właśnie jest „dostęp”. Robi dokładnie to, co opisałeś.
Mark
Muszę być ślepy lub całkowicie noob, jeśli nigdy nie udało mi się uruchomić działającego deamona Sophosa. Czy możesz mi powiedzieć jak?
Dorian
1
Z przyjemnością pomagam w miarę możliwości. Nie martw się, że nie będziesz ekspertem - wszyscy jesteśmy na własnych ścieżkach uczenia się. Oto dokumentacja instalacji: sophos.com/en-us/medialibrary/PDFs/documentation/... Jest bardzo dobrze napisana. Jeśli masz trudności, rzuć nowy wątek i wyślij mi wiadomość, aby upewnić się, że widzę twój post. HTH
Mark