it-swarm.com.ru

Какое возможное влияние вымогателей "Wanna Cry" на пользователей Linux?

Просто стало известно, что вы должны заплатить 300 долларов, потому что вымогатель, предназначенный для Microsoft Windows, зашифровал ваши данные. Какие действия необходимо предпринять пользователям Linux, если, например, они используют wine?

Широко распространено мнение, что эта программа-вымогатель основана на инструменте, разработанном NSA для взлома компьютеров. Инструмент NSA использовался хакерской группой под названием Shadow Brokers . Код можно найти в Github .

Microsoft выпустила исправление ( MS17-010 ) против этой уязвимости 14 марта 2017 года. Сообщается, что массовое заражение начало распространяться 14 апреля. Это обсуждается здесь .

Поскольку я не загружал Windows 8.1 в течение 6-8 недель, могу ли я применить этот патч из Ubuntu без предварительной загрузки Windows? (После исследования может оказаться, что ClamAV может сообщить об уязвимости со стороны Linux, изучая раздел Windows, но вряд ли он сможет применить исправление. Лучшим методом будет перезагрузка Windows и установка исправления MS17-010.)

Частные лица и небольшие компании, подписавшиеся на автоматические обновления Microsoft, не заражаются. Более крупные организации, которые откладывают применение исправлений во время тестирования на внутренних сетях организации, с большей вероятностью будут заражены.

13 мая 2017 года Microsoft предприняла необычайный шаг, выпустив патч для Windows XP, который не поддерживается в течение 3 лет.

Нет слов, если Wine что-то делает для обновления безопасности. В комментарии ниже сообщалось, что Linux тоже может быть заражен, когда пользователи запускают wine .

"Случайный герой" зарегистрировал доменное имя, которое выполняло роль переключателя уничтожения для вымогателей. Я предполагаю, что несуществующий домен использовался хакерами в их частной интрасети, чтобы они не заразили себя. В следующий раз они будут умнее, поэтому не полагайтесь на этот текущий переключатель убийств. Установка исправления Microsoft, которое предотвращает использование уязвимости в протоколе SMBv1, является наилучшим способом.

14 мая 2017 года Red Hat Linux заявила, что на них не распространяется вымогатель "Wanna Cry". Это может ввести в заблуждение пользователей Ubuntu, а также пользователей Red Hat, CentOS, ArchLinux и Fedora. Red Hat поддерживает вино, ответы которого ниже подтверждают. По сути, Ubuntu и другие пользователи Linux-дистрибутивов, решающие эту проблему, могут быть введены в заблуждение ответом службы поддержки Red Hat Linux здесь .

15 мая 2017 г. Обновление. За последние 48 часов Microsoft выпустила исправления, названные KB4012598 для Windows 8, XP, Vista, Server 2008 и Server 20 для защиты против "Wanna Cry" вымогателей. Эти версии Windows больше не находятся на автоматических обновлениях. Хотя вчера я применил обновление безопасности MS17-010 на своей платформе Windows 8.1, моему старому ноутбуку Vista все еще нужен патч KB4012598, загруженный и примененный вручную.


Примечание модератора: Этот вопрос не является не по теме - он спрашивает, нужно ли пользователям Linux делать какие-либо шаги для защиты от риска.

Здесь он идеально подходит для обсуждения, поскольку он имеет отношение к Linux (то есть к Ubuntu), а также для пользователей Ubuntu, использующих Wine или аналогичные уровни совместимости, или даже виртуальных машин на своих компьютерах с Ubuntu Linux.

63
WinEunuuchs2Unix

Если это помогает и дополняет ответ Ринзвинда , сначала задайте вопросы:

1. Как это распространяется?

По электронной почте. Это затронуло 2 друзей. Они отправляют мне электронное письмо для тестирования в контролируемой среде, поэтому вам, в основном, нужно открыть электронное письмо, загрузить вложение и запустить его. После первоначального заражения он будет систематически проверять сеть, чтобы увидеть, кто еще может быть затронут.

2. Могу ли я повлиять на использование Wine?

Краткий ответ: да. Так как Wine эмулирует практически любое поведение среды Windows, червь может попытаться найти способы воздействия на вас. В худшем случае, в зависимости от прямого доступа Wine к вашей системе Ubuntu, будут затронуты некоторые или все части вашего дома (не полностью протестировал это. См. Ответ 4 ниже), хотя я вижу здесь много препятствий для как ведет себя червь и как он пытается зашифровать разделы/файлы, не относящиеся к ntfs/fat, и какие права не-суперпользователя ему понадобятся для этого, даже если он поступает из Wine, поэтому он не имеет полных полномочий, как в Windows. В любом случае, для этого лучше играть на безопасной стороне.

3. Как я могу проверить поведение этого, как только я получу электронное письмо с этим?

Мой первоначальный тест, в котором участвовали 4 контейнера VirtualBox в одной сети, закончился через 3 дня. По сути, в день 0 я специально осквернил первую систему Windows 10. Через 3 дня все 4 были затронуты и зашифрованы сообщением "Whoops" о шифровании. Ubuntu, с другой стороны, никогда не затрагивалось, даже после создания общей папки для всех 4 гостей, которая находится на рабочем столе Ubuntu (за пределами Virtualbox). Папка и файлы в ней никогда не были затронуты, поэтому у меня есть сомнения относительно Wine и того, как это может распространяться на нем.

4. Я проверял это на Wine?

К сожалению, я это сделал (уже сделал резервную копию и переместил важные файлы заданий с рабочего стола, прежде чем сделать это). По сути, мой рабочий стол и папка с музыкой были обречены. Однако это не повлияло на папку, которая была у меня на другом диске, возможно, потому что она не была подключена в то время. Теперь, прежде чем мы увлеклись, мне нужно было запустить вино как Судо, чтобы это работало (я никогда не запускал вино с Судо). Так что в моем случае, даже с Sudo, были затронуты только рабочий стол и папка с музыкой (для меня).

Обратите внимание, что Wine имеет функцию интеграции с рабочим столом, где, даже если вы измените диск C: на что-то внутри папки Wine (вместо диска по умолчанию c), он все равно сможет получить доступ к вашей домашней папке Linux, так как он сопоставляется с вашим. домашняя папка с документами, видео, загрузкой, сохранением файлов игры и т. д. Это необходимо объяснить, поскольку мне отправили видео о пользователе, тестирующем WCry, и он изменил диск C на "drive_c", который находится внутри ~/.wine папку, но он все еще получил влияние на домашнюю папку.

Моя рекомендация, если вы хотите избежать или хотя бы снизить влияние на вашу домашнюю папку при тестировании с Wine, это просто отключить следующие папки, указав их на ту же пользовательскую папку в среде Wine или на одну поддельную папку в другом месте.

enter image description here

Я использую Ubuntu 17.04 64-Bit, разделы - Ext4, и у меня нет других мер безопасности, кроме простой установки Ubuntu, форматирования дисков и обновления системы каждый день.

55
Luis Alvarado

Какие действия необходимо предпринять пользователям Linux, если, например, они используют wine?

Ничего такого. Ну, может быть, не ничего, но ничего лишнего. Применяются обычные правила: регулярно создавайте резервные копии ваших личных данных. Также проверьте свои резервные копии, чтобы знать, что вы можете восстановить их при необходимости.

Что следует отметить:

  1. Вино это не винда. Не используйте вино, чтобы:

    1. открытые письма,
    2. открыть дропбокс ссылки
    3. сидеть в сети.

      Эти 3 - способ, которым это, кажется, распространяется на машины. Если вам нужно сделать это, используйте virtualbox с обычной установкой.
  2. Он также использует шифрование, а шифрование в Linux намного сложнее, чем в Windows. Если эта вредоносная программа сможет затронуть вашу систему Linux, в худшем случае ваши личные файлы в вашем $home будут скомпрометированы. Так что просто восстановите резервную копию, если это когда-нибудь произойдет.


Нет слов, если Wine что-то делает для обновления безопасности.

Это не винная проблема. "Исправление" означает, что вам нужно использовать компоненты Windows, которые исправили это. Или используйте сканер вирусов в вине, который может найти эту вредоносную программу. Вино само по себе не может обеспечить какую-либо форму исправить.

Опять же: несмотря на то, что wine может использоваться в качестве вектора атаки, вам все равно нужно действовать как пользователь, которого вы не должны делать с Wine, чтобы заразиться: вам нужно использовать wine, чтобы открыть вредоносный веб-сайт, вредоносную ссылку в письме. Вы должны уже никогда сделать это, так как вино не поставляется с какой-либо формой защиты от вирусов. Если вам нужно сделать что-то подобное, вы должны использовать Windows в виртуальной коробке (с современным программным обеспечением и антивирусным сканером).

И когда вы заражаетесь вином: это повлияет только на ваши файлы. Ваш /home. Таким образом, вы исправите это, удалив зараженную систему и восстановив резервную копию, которую мы все уже сделали. Это все со стороны Linux.

О, когда пользователь "не такой умный" и использует Sudo с wine, это проблема ПОЛЬЗОВАТЕЛЯ. Не вино.

Если что: я сам уже против использования вина для чего-либо. Использование двойной загрузки без взаимодействия между Linux и Windows или использование виртуальной коробки с новейшей Windows и использование антивирусного сканера намного превосходит все, что может предложить Wine.


Некоторые из затронутых компаний этим:

  • Telephonica.
  • Fedex.
  • Национальная служба здравоохранения (Великобритания).
  • Немецкая железная дорога.
  • Q-park (Европа. Автостоянка).
  • Renault.

Все использовали непатентованные системы Windows XP и ​​Windows 7. Самым плохим был NHS. Они используют Windows на оборудовании, где они не могут обновить операционные системы (...), и им пришлось просить пациентов прекратить посещать больницы и использовать вместо этого общий номер тревоги.

Пока еще ни одна машина, использующая Linux, ни одна машина, использующая wine, не заразились. Можно ли это сделать? Да (даже не "вероятно"). Но воздействие, вероятно, будет одной машиной и не будет каскадным эффектом. Для этого им понадобится пароль администратора. Так что "мы" мало интересны для этих хакеров.

Если вы чему-нибудь научитесь из этого ... прекратите использовать Windows для почты и общих действий в Интернете на сервере company. И нет, антивирусные сканеры НЕ подходят для этого: обновления для вирусов создаются после ПОСЛЕ обнаружения вируса. Это слишком поздно.

Песочница Windows: не разрешать общий доступ. Обновите эти машины. -Купить новую операционную систему, когда Microsoft может версию. Не используйте пиратское программное обеспечение. Компания, все еще использующая Windows XP, просит об этом.


Политика нашей компании:

  • Используйте Linux.
  • Не используйте акции.
  • Используйте безопасный пароль и не сохраняйте пароли вне сейфа.
  • Используйте онлайн-почту.
  • Используйте онлайн-хранилище для документов.
  • Использовать Windows только внутри virtualbox для вещей, которые Linux не может сделать. У нас есть некоторые VPN, которые используют наши клиенты, только для Windows. Вы можете подготовить vbox и скопировать его, когда у вас есть все необходимое программное обеспечение.
  • Системы Windows, которые используются внутри нашей компании (например, личные записные книжки), не разрешены в сети компании.
25
Rinzwind

Эта вредоносная программа распространяется в два этапа:

  • Во-первых, с помощью хороших вложений электронной почты: пользователь Windows получает электронное письмо с приложенным исполняемым файлом и запускает его. Здесь нет уязвимости Windows; просто неспособность пользователя запустить исполняемый файл из ненадежного источника (и игнорировать предупреждение от антивирусного программного обеспечения, если оно есть).

  • Затем он пытается заразить другие компьютеры в сети. Вот где в игру вступает уязвимость Windows: если в сети есть уязвимые машины, то вредоносная программа может использовать их для заражения без каких-либо действий пользователя.

В частности, чтобы ответить на этот вопрос:

Поскольку я не загружал Windows 8.1 в течение 6-8 недель, могу ли я применить этот патч из Ubuntu без предварительной загрузки Windows?

Вы можете заразиться этой уязвимостью, только если в вашей сети уже есть зараженный компьютер. Если это не так, можно загрузить уязвимую Windows (и сразу же установить обновление).

Кстати, это также означает, что использование виртуальных машин не означает, что вы можете быть небрежным. Особенно, если он напрямую подключен к сети (мостовое соединение), виртуальная машина Windows ведет себя как любая другая машина Windows. Возможно, вам не очень важно, заражен ли он, но он также может заразить другие компьютеры Windows в сети.

14
fkraiem

Исходя из того, что все уже писали и говорили на эту тему:

WannaCrypt Ransomware не предназначен для работы на других ОС, кроме Windows (не включая Windows 10), потому что он основан на эксплойте NSA Eternal Blue, который использует уязвимость безопасности Windows.

Запуск Wine под Linux небезопасен, но вы можете заразить себя, если используете это программное обеспечение для загрузки, обмена электронной почтой и просмотра веб-страниц. Wine действительно имеет доступ ко многим путям к вашей/домашней папке, что позволяет этой вредоносной программе зашифровать ваши данные и каким-то образом "заразить" вас.

Вкратце: если кибер-преступники не намеренно спроектируют WannaCrypt, чтобы воздействовать на ОС на основе Debian (или другого дистрибутива Linux), вам не следует беспокоиться об этом как о пользователе Ubuntu, хотя полезно быть осведомленным о кибер-потоках.

0
Dorian