Какое возможное влияние вымогателей «Wanna Cry» на пользователей Linux?


64

Просто стало известно, что вы должны заплатить 300 долларов, потому что вымогатель, предназначенный для Microsoft Windows, зашифровал ваши данные. Какие действия необходимо предпринять пользователям Linux, если, например, они используют wine?

Широко распространено мнение, что этот вымогатель основан на инструменте, разработанном АНБ для взлома компьютеров. Инструмент АНБ использовался хакерской группой под названием Shadow Brokers . Код можно найти в Github .

Microsoft выпустила исправление ( MS17-010 ) против этой уязвимости 14 марта 2017 года. Сообщается, что массовое заражение начало распространяться 14 апреля. Это обсуждается здесь .

Поскольку я не загружал Windows 8.1 в течение 6-8 недель, могу ли я применить этот патч из Ubuntu без предварительной загрузки Windows? (После исследования может оказаться, что ClamAV может сообщить об уязвимости со стороны Linux, изучая раздел Windows, но вряд ли он сможет применить исправление. Лучшим методом будет перезагрузка Windows и установка исправления MS17-010.)

Частные лица и небольшие компании, подписавшиеся на автоматические обновления Microsoft, не заражаются. Более крупные организации, которые откладывают применение исправлений во время тестирования на внутренних сетях организации, с большей вероятностью будут заражены.

13 мая 2017 года Microsoft предприняла необычайный шаг, выпустив патч для Windows XP, который не поддерживается в течение 3 лет.

Нет слов, если Wine что-то делает с обновлением безопасности. В сообщении ниже сообщалось, что Linux также может быть заражен, когда пользователи запускают Wine .

«Случайно герой» зарегистрировал доменное имя , которое действовало в качестве уничтожений перехода на вымогатель. Я предполагаю, что несуществующий домен использовался хакерами в их частной интрасети, чтобы они не заразили себя. В следующий раз они будут умнее, поэтому не полагайтесь на этот текущий переключатель убийств. Установка исправления Microsoft, которое предотвращает использование уязвимости в протоколе SMBv1, является наилучшим способом.

14 мая 2017 года Red Hat Linux заявила, что на них не распространяется программа-вымогатель «Wanna Cry». Это может ввести в заблуждение пользователей Ubuntu, а также пользователей Red Hat, CentOS, ArchLinux и Fedora. Red Hat поддерживает вино, ответы которого ниже подтверждают. По сути, Ubuntu и другие пользователи Linux-дистрибутивов, решающие эту проблему, могут быть введены в заблуждение ответом службы поддержки Red Hat Linux здесь .

15 мая 2017 г. Обновление. За последние 48 часов Microsoft выпустила исправления под названием KB4012598 для Windows 8, XP, Vista, Server 2008 и Server 2003 для защиты от вымогателей «Wanna Cry». Эти версии Windows больше не находятся на автоматических обновлениях. Хотя вчера я применил обновление безопасности MS17-010 на своей платформе Windows 8.1, моему старому ноутбуку Vista все еще нужен патч KB4012598, загруженный и примененный вручную.


Примечание модератора: Этот вопрос не является не по теме - он спрашивает, нужно ли пользователям Linux делать какие-либо шаги для защиты от риска.

Здесь он идеально подходит для обсуждения, поскольку он имеет отношение к Linux (то есть к Ubuntu), а также к пользователям Ubuntu, использующим Wine или аналогичные уровни совместимости, или даже к виртуальным машинам на их компьютерах с Ubuntu Linux.


1
"VBA, которую LibreOffice начинает поддерживать в бета-версии?" интересно. Можете ли вы добавить ссылку на это? Это будет help.libreoffice.org/Common/VBA_Properties ?
ДК Бозе

1
@DKBose Я добавил ссылку и удалил ссылку "бета". IIRC VBA поддерживается, но с ограничениями. Лично я использовал только BASIC для LO.
WinEunuuchs2Unix

4
Пожалуйста, перефразируйте ваш «вопрос», чтобы не указывать на то, что вымогатель является продуктом Microsoft (вы постоянно используете Microsoft, чтобы указать на притяжательное). Это скорее атака, нацеленная на продукт Microsoft.
Добей

2
Разве это не должно быть в Unix и Linux, потому что это не специфично для Ubuntu?
Седа Е.И.

2
ну есть способ. Вы можете скачать патч, сохранить его в разделе Windows, отключиться от сети и перезагрузить Windows, чтобы установить его, прежде чем снова подключиться к сети.
Карлос Мануэль Эскалона

Ответы:


57

Если это поможет и дополнит ответ Ринзвинда , сначала задайте вопросы:

1. Как это распространяется?

По электронной почте. Это затронуло 2 друзей. Они отправляют мне электронное письмо для тестирования в контролируемой среде, поэтому вам, в основном, нужно открыть электронное письмо, загрузить вложение и запустить его. После первоначального заражения он будет систематически проверять сеть, чтобы увидеть, кто еще может быть затронут.

2. Могу ли я повлиять на использование Wine?

Краткий ответ: да. Так как Wine эмулирует практически любое поведение среды Windows, червь может попытаться найти способы воздействия на вас. В худшем случае, в зависимости от прямого доступа Wine к вашей системе Ubuntu, будут затронуты некоторые или все части вашего дома (не полностью протестировал это. См. Ответ 4 ниже), хотя я вижу здесь много препятствий для как ведет себя червь и как он пытается зашифровать разделы / файлы, отличные от ntfs / fat, и какие права администратора не нужны для этого, даже если он поступает из Wine, поэтому он не имеет полных полномочий, как в Windows. В любом случае, для этого лучше играть на безопасной стороне.

3. Как я могу проверить поведение этого, как только я получу электронное письмо с этим?

Мой первоначальный тест, в котором участвовали 4 контейнера VirtualBox в одной сети, закончился через 3 дня. По сути, в день 0 я специально осквернил первую систему Windows 10. Через 3 дня все 4 были затронуты и зашифрованы сообщением «Whoops» о шифровании. Ubuntu, с другой стороны, никогда не затрагивалось, даже после создания общей папки для всех 4 гостей, которая находится на рабочем столе Ubuntu (за пределами Virtualbox). Папка и файлы в ней никогда не были затронуты, поэтому у меня есть сомнения относительно Wine и того, как это может распространяться на нем.

4. Я проверял это на Wine?

К сожалению, я это сделал (уже сделал резервную копию и переместил важные файлы заданий с рабочего стола, прежде чем сделать это). По сути, мой рабочий стол и папка с музыкой были обречены. Однако это не повлияло на папку, которая была у меня на другом диске, возможно, потому что она не была подключена в то время. Теперь, прежде чем мы увлеклись, мне нужно было запустить вино как sudo, чтобы это работало (я никогда не запускал вино с sudo). Так что в моем случае, даже с sudo, были затронуты только рабочий стол и папка с музыкой (для меня).

Обратите внимание, что Wine имеет функцию Desktop Integration, благодаря которой, даже если вы измените диск C: на что-то внутри папки Wine (вместо диска по умолчанию c), он все равно сможет получить доступ к вашей домашней папке Linux, поскольку он сопоставляется с вашим. домашняя папка с документами, видео, загрузкой, сохранением файлов игры и т. д. Это необходимо объяснить, поскольку мне отправили видео о том, как пользователь тестирует WCry, и он изменил диск C на «drive_c», который находится внутри ~ / .wine папку, но он все еще получил влияние на домашнюю папку.

Моя рекомендация, если вы хотите избежать или хотя бы снизить влияние на вашу домашнюю папку при тестировании с Wine, это просто отключить следующие папки, указав их на ту же пользовательскую папку в среде Wine или на одну поддельную папку в другом месте.

введите описание изображения здесь

Я использую Ubuntu 17.04 64-Bit, разделы - Ext4, и у меня нет других мер безопасности, кроме простой установки Ubuntu, форматирования дисков и обновления системы каждый день.


26

Какие действия необходимо предпринять пользователям Linux, если, например, они используют wine?

Ничего. Ну, может быть, не ничего, но ничего лишнего. Применяются обычные правила: регулярно создавайте резервные копии ваших личных данных. Также проверьте свои резервные копии, чтобы знать, что вы можете восстановить их при необходимости.

Что следует отметить:

  1. Вино это не винда. Не используйте вино, чтобы:

    1. открытые письма,
    2. открыть дропбокс ссылки
    3. сидеть в сети.

      Эти 3 - способ, которым это, кажется, распространяется на машины. Если вам нужно сделать это, используйте virtualbox с обычной установкой.
  2. Он также использует шифрование, а шифрование в Linux намного сложнее, чем в Windows. Если эта вредоносная программа сможет коснуться вашей системы Linux, в худшем случае ваши личные файлы в вашей $homeсистеме будут скомпрометированы. Так что просто восстановите резервную копию, если это когда-нибудь произойдет.


Нет слов, если Wine что-то делает с обновлением безопасности.

Это не винная проблема. «Исправление» означает, что вам нужно использовать компоненты Windows, которые исправили это. Или используйте сканер вирусов в вине, который может найти эту вредоносную программу. Вино само по себе не может обеспечить какую-либо форму исправить.

Опять же: несмотря на то, что wine может использоваться в качестве вектора атаки, вам все равно нужно действовать как пользователь, которого вы не должны делать с вином для заражения: вам нужно использовать wine, чтобы открыть вредоносный веб-сайт, вредоносную ссылку в почте. Вы уже никогда не должны этого делать, так как вино не поставляется с какой-либо формой защиты от вирусов. Если вам нужно сделать что-то подобное, вы должны использовать Windows в виртуальной коробке (с современным программным обеспечением и антивирусным сканером).

И когда вы заражаетесь вином: это повлияет только на ваши файлы. Ваш /home. Таким образом, вы исправите это, удалив зараженную систему и восстановив резервную копию, которую мы все уже сделали. Это все со стороны Linux.

О, когда пользователь «не такой умный» и использует sudoвино, это проблема ПОЛЬЗОВАТЕЛЯ. Не вино

Если что: я сам уже против использования вина для чего-либо. Использование двойной загрузки без взаимодействия между Linux и Windows или использование виртуальной коробки с новейшей Windows и использование антивирусного сканера намного превосходит все, что может предложить Wine.


Некоторые из затронутых компаний этим:

  • Telephonica.
  • Fedex.
  • Национальная служба здравоохранения (Великобритания).
  • Немецкая железная дорога.
  • Q-park (Европа. Автостоянка).
  • Renault.

Все использовали непатентованные системы Windows XP и Windows 7. Самым плохим был NHS. Они используют Windows на оборудовании, где они не могут обновить операционные системы (...), и им пришлось просить пациентов прекратить посещать больницы и использовать вместо этого общий номер тревоги.

Пока еще ни одна машина, использующая Linux, ни одна машина, использующая wine, не заразились. Можно ли это сделать? Да (даже не «вероятно»). Но воздействие, вероятно, будет одной машиной и не будет каскадным эффектом. Для этого им понадобится наш пароль администратора. Так что «мы» мало интересны для этих хакеров.

Если вы чему-нибудь научитесь из этого ... прекратите использовать Windows для работы с почтой и общей интернет-деятельностью на сервере компании . И нет, антивирусные сканеры НЕ подходят для этого: обновления для вирусов создаются после ПОСЛЕ обнаружения вируса. Это слишком поздно.

Песочница Windows: не разрешать общий доступ. Обновите эти машины. -Купить новую операционную систему, когда Microsoft может версию. Не используйте пиратское программное обеспечение. Компания, все еще использующая Windows XP, просит об этом.


Политика нашей компании:

  • Используйте Linux.
  • Не используйте акции.
  • Используйте безопасный пароль и не сохраняйте пароли вне сейфа.
  • Используйте онлайн-почту.
  • Используйте онлайн-хранилище для документов.
  • Использовать Windows только внутри virtualbox для вещей, которые Linux не может сделать. У нас есть некоторые VPN, которые используют наши клиенты, только для Windows. Вы можете подготовить vbox и скопировать его, когда у вас есть все необходимое программное обеспечение.
  • Системы Windows, которые используются внутри нашей компании (например, личные записные книжки), не разрешены в сети компании.

Да, применяются обычные правила: регулярно создавайте резервные копии своих личных данных. Также проверьте свои резервные копии, чтобы знать, что вы можете восстановить их при необходимости.
Судодус


2
Подтверждено от друга из моей компании по кибербезопасности: Wine может быть вектором заражения, если ваша файловая система используется незащищенным образом при подключении к виртуальному диску Wine. Хотя это зло и редко, люди, использующие Wine, должны быть очень осторожны, а те, кто не использует Wine, должны быть менее обеспокоены (но все же осторожны - здесь, конечно, здравый смысл)
Томас Уорд

Вредоносная программа шифрует только локальные файлы? Что если у меня есть общий ресурс samba и я смонтирован на компьютере с Windows? Будут ли файлы зашифрованы и на сетевом диске? Есть и еще один риск. Обнаружена уязвимость, когда пользователю не нужно открывать и запускать вложение. Достаточно того, что сканер вредоносных программ Windows сканирует специально созданный файл ( pcworld.com/article/3195434/security/… , technet.microsoft.com/en-us/library/security/4022344 ), к счастью, есть патч.
никто не

1
@ WinEunuuchs2Unix общая идея состоит в том, чтобы восстановить их. В другое место, затем ваши текущие файлы.
Rinzwind

15

Эта вредоносная программа распространяется в два этапа:

  • Во-первых, с помощью хороших вложений электронной почты: пользователь Windows получает электронное письмо с приложенным исполняемым файлом и запускает его. Здесь нет уязвимости Windows; просто неспособность пользователя запустить исполняемый файл из ненадежного источника (и игнорировать предупреждение от антивирусного программного обеспечения, если оно есть).

  • Затем он пытается заразить другие компьютеры в сети. Вот где в игру вступает уязвимость Windows: если в сети есть уязвимые машины, то вредоносное ПО может использовать их для заражения без каких-либо действий пользователя .

В частности, чтобы ответить на этот вопрос:

Поскольку я не загружал Windows 8.1 в течение 6-8 недель, могу ли я применить этот патч из Ubuntu без предварительной загрузки Windows?

Вы можете заразиться этой уязвимостью, только если в вашей сети уже есть зараженный компьютер. Если это не так, можно загрузить уязвимую Windows (и сразу же установить обновление).

Кстати, это также означает, что использование виртуальных машин не означает, что вы можете быть небрежным. Особенно, если он напрямую подключен к сети (мостовое соединение), виртуальная машина Windows ведет себя как любая другая машина Windows. Возможно, вам не очень важно, заражен ли он, но он также может заразить другие компьютеры Windows в сети.


В частности патч вы хотите применить это MS17-010в соответствии с : symantec.com/connect/blogs/... github.com/RiskSense-Ops/MS17-010 и renditioninfosec.com/2017/05/...
WinEunuuchs2Unix

0

Исходя из того, что все уже писали и говорили на эту тему:

WannaCrypt Ransomware не предназначен для работы на других ОС, кроме Windows (не включая Windows 10), потому что он основан на эксплойте NSA Eternal Blue, который использует уязвимость безопасности Windows.

Запуск Wine под Linux небезопасен, но вы можете заразить себя, если используете это программное обеспечение для загрузки, обмена электронной почтой и просмотра веб-страниц. Wine имеет доступ ко многим путям к вашим папкам / home, что позволяет этой вредоносной программе зашифровать ваши данные и каким-то образом «заразить» вас.

Вкратце: если кибер-преступники не намеренно спроектируют WannaCrypt, чтобы воздействовать на ОС на основе Debian (или другого дистрибутива Linux), вам не следует беспокоиться об этом как о пользователе Ubuntu, хотя полезно быть осведомленным о кибер-потоках.


Sophos предоставляет на доступ антивирус Linux, который является бесплатным для некоммерческих целей. Хотя я не смотрел, я ожидаю, что он был обновлен для этого вымогателей. sophos.com/en-us/products/free-tools/…
Марк

Sophos работает по командной строке с ручным интерфейсом. Я имел в виду настоящую программу, способную запускать себя и сканировать файлы самостоятельно, без необходимости запуска сканирования пользователем. Поэтому при обнаружении угрозы программа может предупредить вас и спросить, что с этим делать.
Дориан

Это явно то, что «на доступ». Это именно то, что вы описали.
Mark

Я должен быть слепым или полностью нубом, если мне никогда не удавалось запустить работающий Sophos Deamon. Не могли бы вы сказать мне, как?
Дориан

1
Я рад помочь, насколько смогу. Не беспокойтесь о том, чтобы не быть экспертом - мы все находимся на своем собственном пути обучения. Вот документация по установке: sophos.com/en-us/medialibrary/PDFs/documentation/… Она очень хорошо написана. Если у вас возникли трудности, создайте новую ветку и отправьте мне сообщение, чтобы я увидел ваш пост. HTH
Марк
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.