1. どのように広がるのか?

tag-icon tag-icon windows wine malware
1. どのように広がるのか?

Microsoft Windows を標的としたランサムウェアによってデータが暗号化されたため、300 ドルの身代金を支払わなければならないことが明らかになりました。たとえば、Linux ユーザーが Wine を使用している場合、この攻撃から身を守るためにどのような手順を踏む必要がありますか?

このランサムウェアは、NSAがコンピュータをハッキングするために開発したツールに基づいていると広く報告されています。NSAのツールは、シャドーブローカーコードは以下にありますギットハブ

マイクロソフトはパッチをリリースした(MS17-010)は2017年3月14日にこの脆弱性に対する対策を発表しました。大規模な感染は4月14日に広がり始めたと報告されています。これについてはここ

6 ~ 8 週間 Windows 8.1 を起動していないので、最初に Windows を起動せずに Ubuntu からこのパッチを適用できますか? (調査の結果、ClamAV が Windows パーティションを調べて Linux 側から脆弱性を報告できる可能性はありますが、パッチを適用できる可能性は低いです。最善の方法は、Windows を再起動してパッチ MS17-010 を適用することです。)

Microsoft 自動更新を購読している個人や小規模企業は感染しません。組織のイントラネットに対してテストを行うためパッチの適用を遅らせる大規模組織は、感染する可能性が高くなります。

2017 年 5 月 13 日、マイクロソフトは 3 年間サポートされていなかった Windows XP のパッチをリリースするという異例の措置を講じました。

Wineがセキュリティアップデートについて何かしているかどうかは不明。以下のコメントで、Linuxでもユーザーが実行した場合に感染する可能性があると報告されている。ワイン

アン「偶然の英雄」ランサムウェアのキルスイッチとして機能するドメイン名を登録しました。ハッカーは、感染しないように、存在しないドメインをプライベートイントラネットで使用したと推測します。次回はもっと賢くなるでしょうから、この現在のキルスイッチに頼らないでください。SMBv1 プロトコルの脆弱性を悪用するのを防ぐ Microsoft のパッチをインストールするのが最善の方法です。

2017 年 5 月 14 日、Red Hat Linux は「Wanna Cry」ランサムウェアの影響を受けていないと発表しました。これは、Ubuntu ユーザーだけでなく、Red Hat、CentOS、ArchLinux、Fedora ユーザーにも誤解を与える可能性があります。Red Hat は wine をサポートしており、以下の回答で影響を受けることが確認されています。つまり、この問題について Google で検索している Ubuntu やその他の Linux ディストリビューションのユーザーは、Red Hat Linux サポートの回答に惑わされる可能性があります。ここ

2017年5月15日更新。過去48時間にわたって、マイクロソフトはKB4012598のためにWindows 8、XP、Vista、Server 2008、Server 2003「Wanna Cry」ランサムウェアから保護するため。これらの Windows バージョンは自動更新されなくなりました。昨日、Windows 8.1 プラットフォームにセキュリティ更新プログラム MS17-010 を適用しましたが、古い Vista ラップトップでは、パッチ KB4012598 をダウンロードして手動で適用する必要があります。

モデレーターメモ:この質問はトピック外ではありません。Linux ユーザーがリスクから保護するために何らかの手順を実行する必要があるかどうかを尋ねています。

これは Linux (Ubuntu もその 1 つです) に関連しており、また Wine や同様の互換レイヤーを実行している Ubuntu ユーザー、さらには Ubuntu Linux マシン上の VM にも関連しているため、ここでは完全にトピックに該当します。

答え1

もしそれが役に立つなら、そして補足するためにリンツウィンドの答えまず質問です:

1. どのように広がるのか?

電子メール経由。2 人の友人が影響を受けました。彼らは監視された環境でテストするために私に電子メールを送信したので、基本的には電子メールを開いて添付ファイルをダウンロードし、実行する必要があります。最初の汚染の後、ネットワークを体系的にチェックして、他に誰が影響を受ける可能性があるかを確認します。

2. Wine を使用すると影響を受ける可能性がありますか?

短い答え: はい。Wine は Windows 環境のほぼすべての動作をエミュレートするため、ワームは実際にユーザーに影響を与える方法を見つけようとします。最悪のシナリオは、Wine が Ubuntu システムに直接アクセスできるかどうかによって、自宅の一部またはすべてが影響を受けることです (これは完全にテストしていません。以下の回答 4 を参照してください)。ただし、ワームの動作や、NTFS/FAT 以外のパーティション/ファイルの暗号化方法、Wine から実行する場合であってもスーパー管理者以外の権限が必要になるかどうかなど、多くの障害があります。そのため、Wine には Windows のような完全な権限はありません。いずれにせよ、この点については安全策を講じた方がよいでしょう。

3. このようなメールを受信したら、その動作をテストするにはどうすればよいでしょうか?

同じネットワーク上の 4 つの VirtualBox コンテナーを使用した最初のテストは、3 日で終了しました。基本的に、0 日目に、最初の Windows 10 システムを故意に汚染しました。3 日後、4 つすべてが影響を受け、暗号化に関する「おっと」メッセージが表示されて暗号化されました。一方、Ubuntu は、Ubuntu デスクトップ (Virtualbox の外部) にある 4 つのゲスト全員の共有フォルダーを作成した後でも、影響を受けませんでした。フォルダーとその中にあるファイルは影響を受けませんでした。そのため、Wine と、これが Wine 上でどのように伝播するかについて疑問を抱いています。

4. Wine でテストしましたか?

悲しいことに、私はそうしました (バックアップはすでに取っていて、重要なジョブ ファイルをデスクトップから移動していました)。基本的に、デスクトップと音楽フォルダーはダメになりました。ただし、別のドライブにあったフォルダーには影響がありませんでした。おそらく、その時点ではマウントされていなかったからでしょう。話がそれる前に、これを機能させるには wine を sudo として実行する必要がありました (私は wine を sudo で実行したことはありません)。そのため、私の場合、sudo を使用しても、デスクトップと音楽フォルダー (私にとって) だけが影響を受けました。

Wine にはデスクトップ統合機能があり、C: ドライブを Wine フォルダ内の何か (デフォルトのドライブ c ではなく) に変更した場合でも、ドキュメント、ビデオ、ダウンロード、ゲーム ファイルの保存などのホーム フォルダにマップされるため、Linux ホーム フォルダにアクセスできます。WCry をテストしているユーザーに関するビデオが送られてきたので、これを説明する必要がありました。このユーザーは C ドライブを ~/.wine フォルダ内にある "drive_c" に変更しましたが、ホーム フォルダは影響を受けました。

Wine でテストするときにホーム フォルダーへの影響を回避または少なくとも軽減したい場合は、次のフォルダーを Wine 環境内の同じカスタム フォルダーまたは他の場所にある単一の偽のフォルダーにポイントして無効にすることをお勧めします。

ここに画像の説明を入力してください

Ubuntu 17.04 64 ビットを使用しています。パーティションは Ext4 で、Ubuntu をインストールし、ドライブをフォーマットし、システムを毎日更新する以外にセキュリティ対策はありません。

答え2

たとえば、Linux ユーザーが Wine を使用している場合、これから保護するにはどのような手順が必要ですか?

何も。まあ、何もないわけではないかもしれませんが、特別なことは何もありません。通常のルールが適用されます。個人データのバックアップを定期的に作成します。また、バックアップをテストして、必要なときに復元できることを確認してください。

注意事項:

  1. Wine は Windows ではありません。次の目的で Wine を使用しないでください。

    1. メールを開く、
    2. Dropbox リンクを開く
    3. Web を閲覧します。

      これら 3 つの方法で、このウイルスがマシンに拡散するようです。これを行う必要がある場合は、通常のインストールで VirtualBox を使用してください。

  2. また、暗号化も使用されており、Linux での暗号化は Windows よりもずっと困難です。このマルウェアが Linux システムに侵入した場合、最悪の場合、個人ファイルが$home危険にさらされます。そのため、そのような事態が発生した場合は、バックアップを復元するだけです。

Wine がセキュリティ更新に関して何かを行っているかどうかは不明です。

これは Wine の問題ではありません。これを「修正する」には、修正された Windows コンポーネントを使用する必要があります。または、このマルウェアを検出できる Wine のウイルス スキャナーを使用します。Wine 自体は、いかなる形の修正も提供できません。

もう一度言いますが、ワインは攻撃ベクトルとして使用できますが、感染するには、ユーザーがワインから行うべきではないことを行う必要があります。ワインを使用して悪意のあるウェブサイトやメール内の悪意のあるリンクを開く必要があります。一度もないWine にはいかなる形式のウイルス対策も付属していないため、そうしてください。そのようなことをする必要がある場合は、VirtualBox で Windows を使用する必要があります (最新のソフトウェアとウイルス スキャナーを使用)。

そして、もしあなたが Wine 経由で感染してしまったら、影響を受けるのはあなたのファイルだけです。あなたの/home。だから、感染したシステムを削除し、私たち全員がすでに作成しているバックアップを復元することで、この問題を解決します。Linux 側からの対応は以上です。

ああ、ユーザーが「それほど賢くない」状態sudoでワインを使用する場合、それはユーザーの問題です。ワインの問題ではありません。

どちらかと言うと、私自身は、何にでも Wine を使うことに反対です。Linux と Windows を相互作用させずにデュアル ブートを使用するか、最新の Windows で VirtualBox を使用し、ウイルス スキャナーを使用する方が、Wine が提供できるものよりはるかに優れています。

これによって影響を受ける企業の一部:

  • テレフォニカ。
  • フェデックス。
  • 国民保健サービス(英国)。
  • ドイツ鉄道(ドイツ鉄道)。
  • Q-park(ヨーロッパ。駐車サービス)。
  • ルノー。

いずれもパッチ未適用の Windows XP および Windows 7 システムを使用していました。最もひどかったのは NHS です。NHS はオペレーティング システムをアップグレードできないハードウェアで Windows を使用しており、患者に病院に来るのをやめて、代わりに一般的なアラーム番号を使用するように依頼しなければなりませんでした。

今のところ、Linux を使用しているマシンや Wine を使用しているマシンは 1 台も感染していません。感染する可能性はあるでしょうか? はい (「おそらく」ですらない)。ただし、影響はおそらく 1 台のマシンに限られ、連鎖的な影響はないでしょう。感染するには、管理者パスワードが必要です。したがって、ハッカーにとって「私たち」はあまり関心の対象ではありません。

このことから何かを学ぶとすれば...メールやインターネットの一般的な活動にWindowsを使うのをやめることです会社サーバー。そして、ウイルス スキャナーは、この目的に適したツールではありません。ウイルス スキャナーのアップデートは、ウイルスが見つかった後に作成されます。それでは遅すぎます。

サンドボックス Windows: 共有を許可しないでください。それらのマシンを更新してください。Microsoft がバージョンを廃止したら、新しいオペレーティング システムを購入してください。海賊版ソフトウェアは使用しないでください。まだ Windows XP を使用している会社が、これを求めています。

当社のポリシー:

  • Linux を使用します。
  • シェアは使用しないでください。
  • パスワードセーフを使用し、パスワードをセーフの外部に保存しないでください。
  • オンラインメールをご利用ください。
  • ドキュメントにはオンライン ストレージを使用します。
  • Linux ではできないことに関しては、VirtualBox 内で Windows のみを使用してください。当社のクライアントが使用している VPN の中には、Windows のみのものもあります。必要なソフトウェアがすべて入ったら、vbox を用意してコピーすることができます。
  • 社内で使用されている Windows システム (個人用ノートパソコンなど) は、会社のネットワークでは許可されません。

答え3

このマルウェアは、次の 2 つのステップで拡散するようです。

  • まず、おなじみの電子メールの添付ファイル経由です。Windows ユーザーは、実行ファイルが添付された電子メールを受信し、それを実行します。これは Windows の脆弱性とは関係ありません。信頼できないソースからの実行ファイルを実行するユーザーの不注意 (および、ウイルス対策ソフトウェアからの警告を無視する) によるものです。

  • 次に、ネットワーク上の他のコンピュータに感染しようとします。ここでWindowsの脆弱性が関係してきます。ネットワーク上に脆弱なマシンがあれば、マルウェアはそれを利用して感染することができます。ユーザーのアクションなしで

特に、この質問に答えるには:

6 ~ 8 週間 Windows 8.1 を起動していないので、最初に Windows を起動せずに Ubuntu からこのパッチを適用できますか?

この脆弱性によって感染するのは、ネットワーク上にすでに感染したマシンがある場合のみです。そうでない場合は、脆弱な Windows を起動して (すぐに更新プログラムをインストールして) ​​も安全です。

ちなみに、これは仮想マシンを使用するからといって不注意でよいというわけではないことも意味します。特に、ネットワークに直接接続されている場合 (ブリッジ ネットワーク)、Windows 仮想マシンは他の Windows マシンと同じように動作します。感染してもあまり気にしないかもしれませんが、ネットワーク上の他の Windows マシンに感染する可能性もあります。

答え4

この主題についてすでに誰もが書いたり話したりしたことに基づくと、

WannaCrypt ランサムウェアは、Windows のセキュリティ侵害を利用する NSA Eternal Blue エクスプロイトに基づいているため、Windows 以外の OS (Windows 10 を除く) では動作するようにはコーディングされていません。

Linux で Wine を実行することは安全ですが、ダウンロード、電子メールの交換、Web ブラウジングにこのソフトウェアを使用すると、自分自身が感染する可能性があります。Wine は多くの /home フォルダ パスにアクセスできるため、このマルウェアがデータを暗号化し、何らかの方法で「感染」する可能性があります。

簡単に言うと、サイバー犯罪者が意図的に WannaCrypt を Debian (または他の Linux ディストリビューション) ベースの OS に影響を与えるように設計しない限り、Ubuntu ユーザーとしてこの問題について心配する必要はありませんが、サイバースレッドに注意を払うことは健全です。

関連情報