Может ли «wannacrypt» (wcrypt) распространяться через сервер Linux, обслуживающий SMB?

Возможно ли это, или это будет распространяться только через машину Windows, обслуживающую SMB?

Если Linux, работающий через SMB, может распространять wannacrypt, какой подход выбрать?

Как правило, любое вымогатель может зашифровать все, к чему имеет доступ зараженный пользователь, как и любое другое вредоносное ПО, которое может записывать в любое место, используя разрешения учетной записи, в которой он работает. Это не означает, что он становится активным для других пользователей, но это может повлиять на все общие ресурсы, к которым у него есть доступ.

Контрмеры:

• Предотвратите с защитой от вирусов и брандмауэром, как обычно.

• Заставьте всех клиентов регулярно устанавливать обновления.

• Резервное копирование является наиболее мощным способом обработки всех вымогателей после заражения. В конце концов, у некоторых из ваших пользователей будет тот, который еще не был распознан вашей антивирусной защитой. Имейте резервную копию, к которой у ваших пользователей нет прав записи. В противном случае резервные копии бесполезны, потому что вымогатель имеет равный доступ для записи поверх резервных копий.

  Автономное резервное копирование является наиболее безопасным способом для достижения этой цели, но оно может быть не очень практичным, поскольку вам нужно делать больше вручную, и не забывайте делать это регулярно.

  У меня обычно есть независимый компьютер, который использует отдельные учетные данные для доступа к расположениям, подлежащим резервному копированию. Там у меня есть инкрементная резервная копия, которая может хранить любые изменения в течение недель или месяцев. Это хорошо против как вымогателей, так и ошибок пользователей.

WannaCry использует уязвимость в реализации SMB в Windows: сам протокол не уязвим. Из новостной статьи о MalwareLess :

Атаки WannaCry инициируются с использованием удаленного выполнения кода SMBv2 в ОС Microsoft Windows. Эксплойт EternalBlue стал общедоступным через дамп Shadowbrokers 14 апреля 2017 года и исправлен Microsoft 14 марта. Однако многие компании и общественные организации еще не установили исправление на свои системы.

Упомянутое исправление MS17-010 , Обновление безопасности для Microsoft Windows SMB Server ( 4013389 ):

Это обновление для системы безопасности устраняет уязвимости в Microsoft Windows. Наиболее серьезные из этих уязвимостей делают возможным удаленное выполнение кода, если злоумышленник отправляет специально созданные сообщения на сервер Microsoft Server Message Block 1.0 (SMBv1).

Следовательно, это не влияет на Linux. Windows также безопасна после установки обновления. Тем не менее, если на клиентском компьютере все еще имеется исправленная Windows, данные на общем ресурсе могут быть небезопасными.

Обнаружил это, хотя источник не был предоставлен для поддержки претензии:

WannaCry использует ряд недостатков в реализации Microsoft протокола SMB1. Поскольку это недостатки реализации, а не структурные недостатки самого протокола, системы Linux защищены. Это верно независимо от того, работают ли системы на Samba, Wine или любом другом уровне эмуляции Windows.

https://security.stackexchange.com/a/159405

Нет, но если ты волнуешься ...

Еще одна вещь, которую нужно сделать, - отключить возможность подключения клиентов к исходящим портам TCP 137, 139 и 445 и UDP 137, 138 к WAN на вашем маршрутизаторе.

Таким образом, вы предотвращаете подключение ваших компьютеров к SMB-серверам вне локальной сети. Вам также следует использовать брандмауэр Windows, чтобы предотвратить общедоступный / частный SMB и разрешить общение только с доменом для диапазонов вашей подсети, если это возможно.

Окончательно установите обновление и отключите SMB 1.0, если это возможно. Вам не о чем беспокоиться, если вы сделаете это.