Что может повлиять на потенциально возможное влияние Ransomware на пользователей Linux?

62

Выясняется, что вы должны заплатить 300 долларов за выкуп, потому что ransomware, нацеленный на Microsoft Windows, зашифровал ваши данные. Какие шаги пользователям Linux необходимо защитить от этого, если, например, они используют вино?

Об этом широко распространенном распространенном раскуполе, основанном на инструменте, разработанном NSA для взлома компьютеров. Инструмент NSA использовался группой хакеров, называемой Shadow Brokers . Код можно найти в Github .

Microsoft выпустила патч ( MS17-010 ) против этой уязвимости 14 марта 2017 года. Сообщается, что массовое заражение начало распространяться 14 апреля. Об этом говорится в здесь .

Как я не загружал Windows 8.1 через 6-8 недель, могу ли я применить этот патч от Ubuntu без первой загрузки Windows? (После исследования может быть возможно, что ClamAV может сообщить об уязвимости со стороны Linux, рассматривая раздел Windows, но вряд ли он может применить исправление. Лучшим методом было бы перезагрузить Windows и применить исправление MS17-010.)

Лица и небольшие компании, подписавшиеся на Microsoft Automatic Updates, не заражены. Большие организации, которые откладывают применение исправлений, поскольку они протестированы против корпоративных интрасетей, более подвержены заражению.

13 мая 2017 года Microsoft предприняла необычный шаг по выпуску патча для Windows XP, который не поддерживался в течение 3 лет.

Нет слов, если вино ничего не делает о обновлении безопасности. В комментарии ниже сообщалось, что Linux также может быть заражен, когда пользователи запускают вино .

An " random hero " зарегистрировал доменное имя, которое действовало как kill-switch для выкупа. Я предполагаю, что несуществующий домен использовался хакерами в их частной интрасети, поэтому они не заражали себя. В следующий раз они будут умнее, поэтому не полагайтесь на этот текущий kill-switch. Установка исправления Microsoft, которая предотвращает использование уязвимости в протоколе SMBv1, является лучшим методом.

14 мая 2017 года Red Hat Linux заявила, что на них не повлияет ransomware «Wanna Cry». Это может ввести пользователей Ubuntu в заблуждение вместе с пользователями Red Hat, CentOS, ArchLinux и Fedora. Red Hat поддерживает вино, которое отвечает ниже, может быть выполнено. По сути, Ubuntu и другие пользователи Linux-дистрибутивов googling, эта проблема может быть введена в заблуждение от ответа поддержки Red Hat Linux здесь .

Обновление от 15 мая 2017 года. За последние 48 часов Microsoft выпустила исправления под названием KB4012598 для Windows 8, XP , Vista, Server 2008 и Server 2003 для защиты от вымогательства «Wanna Cry». Эти версии Windows больше не включены в автоматические обновления. Хотя вчера я применил обновление безопасности MS17-010 на моей платформе Windows 8.1, моему старому ноутбуку Vista по-прежнему нужен патч KB4012598, загруженный и примененный вручную.

  

Замечание модератора: Этот вопрос не вне форума - он спрашивает, нужно ли каким-либо пользователям Linux делать какие-либо шаги для защиты от риска.

     

Это совершенно по теме здесь, потому что это актуально для Linux (что Ubuntu), и это также актуально для пользователей Ubuntu, использующих Wine или аналогичные уровни совместимости или даже виртуальные машины на своих машинах Ubuntu Linux.

    
задан WinEunuuchs2Unix 13.05.2017 в 01:57
источник

4 ответа

56

Если это поможет и дополнить ответ Rinzwind , сначала вопросы:

1. Как он распространяется?

Через электронную почту. 2 друзей были затронуты этим. Они отправляют мне письмо для проверки в контролируемой среде, поэтому вам в основном нужно будет открыть письмо, загрузить приложение и запустить его. После первоначального заражения система будет систематически проверять сеть, чтобы узнать, кто еще может быть затронут.

2. Могу ли я заразиться использованием Wine?

Короткий ответ: Да. Поскольку Wine эмулирует почти каждое поведение среды Windows, червь может фактически попытаться найти способы, как это может повлиять на вас. Наихудший сценарий заключается в том, что в зависимости от того, какое вино прямого доступа имеет ваша система Ubuntu, будут затронуты некоторые или все части вашего дома (это не было полностью проверено. См. Ответ 4 ниже), хотя я вижу здесь много препятствий для как червь ведет себя и как он попытается зашифровать секцию / файлы non ntfs / fat и какое разрешение супер-администратора должно было бы это сделать, даже пришедшее из Wine, так что у него нет таких полномочий, как в Windows. В любом случае, лучше играть на безопасной стороне для этого.

3. Как я могу проверить поведение этого, как только получаю электронное письмо с его именем?

Мой первоначальный тест, который включал 4 контейнера VirtualBox в одной сети, закончился через 3 дня. В основном в день 0 я специально заразил первую систему Windows 10. Через 3 дня все 4 были затронуты и зашифрованы сообщением «Упс» о шифровании. Ubuntu, с другой стороны, никогда не пострадал, даже после создания общей папки для всех 4 гостей, которые находятся на рабочем столе Ubuntu (вне Virtualbox). Папка и файлы в ней никогда не были затронуты, поэтому у меня есть свои сомнения с Вином и как это может распространяться на нем.

4. Я тестировал его на Wine?

К сожалению, я сделал (у меня уже была резервная копия и перетащил файлы с критическими заданиями с рабочего стола, прежде чем делать это). В принципе, моя настольная и музыкальная папка были обречены. Однако это не повлияло на папку, которая была у меня на другом диске, возможно, потому, что она не была установлена ​​в то время. Теперь, прежде чем мы увлечемся, мне нужно было запустить вино как судо для этого, чтобы работать (я никогда не запускаю вино с судо). Так что в моем случае, даже с sudo, был затронут только рабочий стол и музыкальная папка (для меня).

Обратите внимание, что Wine имеет функцию интеграции с Desktop, где, даже если вы измените диск C: на что-то внутри папки Wine (вместо диска по умолчанию c), он все равно сможет добраться до вашей папки Linux Home, поскольку карты в вашу домашнюю папку для документов, видеороликов, загрузки, сохранения игровых файлов и т. д. Это необходимо объяснить, так как я отправил видео о пользователе, тестирующем WCry, и он сменил C-диск на «drive_c», который находится внутри ~ /.wine, но он все еще попал в домашнюю папку.

Моя рекомендация, если вы хотите избежать или, по крайней мере, снизить влияние на домашнюю папку при тестировании с вином, - это просто отключить следующие папки, указав их на одну и ту же настраиваемую папку внутри винной среды или на одну поддельную папку в любом месте иначе.

Я использую Ubuntu 17.04 64-бит, разделы Ext4, и у меня нет других мер безопасности, кроме простой установки Ubuntu, форматирования дисков и обновления системы каждый день.

    
ответ дан Luis Alvarado 14.05.2017 в 03:17
25
  

Какие шаги пользователям Linux необходимо защитить от этого, если, например, они используют вино?

Ничего. Ну, может быть, ничего, кроме ничего лишнего. Применяются обычные правила: регулярно делайте резервные копии своих персональных данных. Также проверьте свои резервные копии, чтобы вы знали, что можете их восстановить при необходимости.

Примечания:

  1. Вино не Windows. Не используйте вино для:

    1. открыть почту,
    2. открыть ссылки на Dropbox
    3. просматривать веб-страницы.

      Эти 3, как кажется, распространяются на машины. Если вам нужно сделать это, используйте виртуальный бокс с нормальной установкой.
  2. Он также использует шифрование и шифрование в Linux намного сложнее, чем в Windows. Если это вредоносное ПО сможет коснуться вашей системы Linux, в худшем случае ваши личные файлы в вашем $home будут скомпрометированы. Поэтому просто восстановите резервную копию, если это произойдет.

  

Нет слов, если вино ничего не делает о обновлении безопасности.

Это не проблема вина. «Фиксация» означает, что вам нужно использовать компоненты Windows, у которых это исправлено. Или используйте вирус-сканер в вине, который может найти это вредоносное ПО. Само вино не может обеспечить какую-либо форму исправления.

Опять же: даже если вино можно использовать в качестве вектора атаки, вам все равно нужно делать что-то как пользователь, которого вы не должны делать из вина, чтобы заразиться: вам нужно использовать вино, чтобы открыть вредоносный веб-сайт, злонамеренную ссылку в почта. Вы уже должны never делать это, поскольку вино не поставляется с какой-либо формой защиты от вирусов. Если вам нужно делать такие вещи, вы должны использовать окна в виртуальном боксе (с обновленным программным обеспечением и антивирусным сканером).

И когда вы заразитесь вином, это повлияет только на ваши файлы. Ваш код%. Поэтому вы исправляете это, удаляя зараженную систему и восстанавливая резервную копию, которую мы все уже делаем. Все дело в Linux.

О, когда пользователь «не очень умный» и использует /home с вином, это проблема ПОЛЬЗОВАТЕЛЯ. Не вино.

Если что-нибудь: я сам уже против вина для чего-либо. Использование двойной загрузки без взаимодействия между linux и windows или с использованием виртуального бокса с обновленной Windows и с помощью антивирусного сканера намного превосходит все, что может предложить вино.

Некоторые из затронутых компаний:

  • Telephonica.
  • Fedex.
  • Национальные службы здравоохранения (Великобритания).
  • Deutsche Bahn (Немецкая железная дорога).
  • Q-park (Служба парковки в Европе).
  • Renault.

Все используемые неподдерживаемые системы Windows XP и Windows 7. Baddest был NHS. Они используют Windows на оборудовании, где они не могут обновить операционные системы (...), и должны были попросить пациентов прекратить посещать больницы и вместо этого использовать общий номер тревоги.

В то же время ни одна машина, использующая Linux или одну машину, не заразилась вирусом. Это можно сделать? Да (даже не «возможно»). Но воздействие, вероятно, будет одной машиной и не будет иметь каскадный эффект. Для этого им нужен наш пароль администратора. Поэтому «мы» мало интересуют этих хакеров.

Если что-то научиться этому ... прекратите использование Windows для почты и общих интернет-действий на сервере company . И нет, антивирусные сканеры НЕ являются правильным инструментом для этого: обновления для vivusscanners создаются ПОСЛЕ обнаружения вируса. Уже слишком поздно.

Песочница Windows: не разрешать домены. Обновите эти машины. -Buy - новая операционная система, когда Microsoft может использовать версию. Не используйте пиратское программное обеспечение. Компания, использующая Windows XP, просит, чтобы это произошло.

Политика нашей компании:

  • Использовать Linux.
  • Не используйте акции.
  • Используйте безопасный пароль и не сохраняйте пароли вне сейфа.
  • Использовать электронную почту.
  • Используйте онлайн-хранилище для документов.
  • Используйте только Windows внутри виртуального бокса для того, что не может сделать Linux. У нас есть некоторые VPN-клиенты, которые используют наши клиенты только для Windows. Вы можете подготовить vbox и скопировать его, когда у вас есть все программное обеспечение, в котором вы нуждаетесь.
  • Системы Windows, которые используются внутри нашей компании (например, личные ноутбуки), не допускаются в сети компании.
ответ дан Rinzwind 13.05.2017 в 09:39
14

Это вредоносное ПО, как представляется, распространяется в два этапа:

  • Во-первых, через хорошие вложения электронной почты: пользователь Windows получает электронное письмо с прикрепленным исполняемым файлом и запускает его. Здесь нет уязвимости Windows; просто неумелость пользователя при запуске исполняемого файла из ненадежного источника (и игнорирование предупреждения из их антивирусного программного обеспечения, если оно есть).

  • Затем он пытается заразить другие компьютеры в сети. Вот тут и возникает уязвимость Windows: если в сети есть уязвимые компьютеры, вредоносное ПО может использовать ее для заражения без каких-либо действий пользователя .

В частности, чтобы ответить на этот вопрос:

  

Поскольку я не загружал Windows 8.1 через 6-8 недель, я могу применить этот патч   от Ubuntu без первой загрузки Windows?

Вы можете заразиться только этой уязвимостью, если в вашей сети уже есть зараженная машина. Если это не так, безопасно загружать уязвимую Windows (и устанавливать обновление сразу).

Это также означает, что использование виртуальных машин не означает, что вы можете быть небрежным. Особенно, если он напрямую подключен к сети (мостовая сеть), виртуальная машина Windows ведет себя как любая другая машина Windows. Возможно, вам не все равно, если он заразится, но он также может заразить другие компьютеры Windows в сети.

    
ответ дан fkraiem 13.05.2017 в 13:05
0

Основываясь на том, что все уже писали и говорили об этом предмете:

WannaCrypt ransomware не закодирован для работы в другой ОС, чем Windows (не включая Windows 10), потому что он основан на эксплойте NSA Eternal Blue, который использует нарушение безопасности Windows.

Запуск Wine под Linux небезопасен, но вы можете заразить себя, если используете это программное обеспечение для загрузки, обмена электронной почтой и просмотра веб-страниц. Вино имеет доступ ко многим путям ваших / домашних папок, что позволяет этому вредоносному ПО зашифровать ваши данные и «заразить» вас каким-то образом.

Кратко: Если кибер-преступники не намерены разрабатывать WannaCrypt для воздействия на операционные системы Debian (или других Linux-дистрибутивов), вы не должны беспокоиться об этом в качестве пользователя Ubuntu, хотя здорово держать себя в курсе кибер-потоков.

    
ответ дан Dorian 21.05.2017 в 02:04