
Es ist gerade ans Licht gekommen, dass Sie ein Lösegeld von 300 US-Dollar zahlen müssen, weil Ransomware, die auf Microsoft Windows abzielt, Ihre Daten verschlüsselt hat. Welche Schritte müssen Linux-Benutzer unternehmen, um sich davor zu schützen, wenn sie beispielsweise Wine verwenden?
Diese Ransomware basiert Berichten zufolge auf einem von der NSA entwickelten Tool zum Hacken von Computern. Das NSA-Tool wurde von einer Hackergruppe namensSchattenmaklerDen Code finden Sie unterGithub.
Microsoft hat einen Patch veröffentlicht (MS17-010) gegen diese Schwachstelle am 14. März 2017. Die Masseninfektion soll sich am 14. April ausgebreitet haben. Dies wird diskutiertHier.
Da ich Windows 8.1 seit 6 bis 8 Wochen nicht gestartet habe, kann ich diesen Patch von Ubuntu aus anwenden, ohne Windows vorher zu starten? (Nach Recherchen ist es möglich, dass ClamAV die Sicherheitslücke von Linux aus meldet, indem es in die Windows-Partition schaut, aber es ist unwahrscheinlich, dass es den Patch anwenden kann. Die beste Methode wäre, Windows neu zu starten und Patch MS17-010 anzuwenden.)
Einzelpersonen und kleine Unternehmen, die automatische Updates von Microsoft abonnieren, sind nicht infiziert. Größere Organisationen, die die Installation von Patches verzögern, da diese an Intranets der Organisation getestet werden, sind mit höherer Wahrscheinlichkeit infiziert.
Am 13. Mai 2017 unternahm Microsoft den außergewöhnlichen Schritt, einen Patch für Windows XP zu veröffentlichen, für das seit drei Jahren kein Support mehr gewährt wurde.
Kein Wort darüber, ob Wine etwas für ein Sicherheitsupdate unternimmt. In einem Kommentar weiter unten wurde berichtet, dass auch Linux infiziert werden kann, wenn BenutzerWein.
Ein"Zufälliger Held"hat einen Domänennamen registriert, der als Kill-Switch für die Ransomware fungierte. Ich gehe davon aus, dass die nicht existierende Domäne von den Hackern in ihrem privaten Intranet verwendet wurde, damit sie sich nicht selbst infizieren. Das nächste Mal werden sie schlauer sein, also verlassen Sie sich nicht auf diesen aktuellen Kill-Switch. Die beste Methode ist die Installation des Microsoft-Patches, der die Ausnutzung einer Schwachstelle im SMBv1-Protokoll verhindert.
Am 14. Mai 2017 gab Red Hat Linux bekannt, dass sie nicht von der Ransomware „Wanna Cry“ betroffen sind. Dies könnte Ubuntu-Benutzer sowie Benutzer von Red Hat, CentOS, ArchLinux und Fedora in die Irre führen. Red Hat unterstützt Wine, das laut den Antworten unten betroffen sein kann. Im Wesentlichen könnten Benutzer von Ubuntu und anderen Linux-Distributionen, die dieses Problem googeln, durch die Antwort des Red Hat Linux-Supports in die Irre geführt werden.Hier.
Update vom 15. Mai 2017. In den letzten 48 Stunden hat Microsoft Patches veröffentlicht, dieKB4012598fürWindows 8, XP, Vista, Server 2008 und Server 2003zum Schutz vor „Wanna Cry“-Ransomware. Diese Windows-Versionen werden nicht mehr automatisch aktualisiert. Obwohl ich gestern das Sicherheitsupdate MS17-010 auf meiner Windows 8.1-Plattform installiert habe, muss auf meinem alten Vista-Laptop noch Patch KB4012598 heruntergeladen und manuell installiert werden.
Moderatorhinweis:Diese Frage ist nicht off-topic – sie fragt danach, ob Linux-Benutzer Schritte zum Schutz vor dem Risiko unternehmen müssen oder nicht.
Es passt hier perfekt zum Thema, da es für Linux (was Ubuntu ist) relevant ist und auch für Ubuntu-Benutzer relevant ist, die Wine oder ähnliche Kompatibilitätsebenen oder sogar VMs auf ihren Ubuntu-Linux-Maschinen ausführen.
Antwort1
Wenn es hilft und ergänzenRinzwinds Antwort, zunächst die Fragen:
1. Wie verbreitet es sich?
Per E-Mail. 2 Freunde waren davon betroffen. Sie haben mir die E-Mail geschickt, um sie in einer überwachten Umgebung zu testen. Sie müssen also im Grunde die E-Mail öffnen, den Anhang herunterladen und ausführen. Nach der ersten Infektion wird das Netzwerk systematisch überprüft, um festzustellen, wer sonst noch betroffen sein könnte.
2. Kann die Verwendung von Wine zu Beeinträchtigungen bei mir führen?
Kurze Antwort: Ja. Da Wine fast jedes Verhalten der Windows-Umgebung emuliert, kann der Wurm tatsächlich versuchen, Wege zu finden, wie er Sie beeinflussen kann. Im schlimmsten Fall sind, je nachdem, wie direkt Wine auf Ihr Ubuntu-System zugreift, einige oder alle Teile Ihres Heims betroffen (habe das nicht vollständig getestet. Siehe Antwort 4 unten), obwohl ich hier viele Hindernisse sehe, was das Verhalten des Wurms angeht und wie er versuchen würde, eine Nicht-NTFS-/FAT-Partition/-Dateien zu verschlüsseln und welche Nicht-Superadministratorberechtigung er dafür benötigen würde, selbst wenn er von Wine kommt, sodass er nicht die gleichen Befugnisse wie unter Windows hat. In jedem Fall ist es besser, auf Nummer sicher zu gehen.
3. Wie kann ich das Verhalten testen, wenn ich eine entsprechende E-Mail erhalte?
Mein erster Test, der 4 VirtualBox-Container im selben Netzwerk umfasste, endete nach 3 Tagen. Im Grunde genommen habe ich am Tag 0 absichtlich das erste Windows 10-System kontaminiert. Nach 3 Tagen waren alle 4 betroffen und verschlüsselt mit der Meldung „Hoppla“ über die Verschlüsselung. Ubuntu hingegen war nie betroffen, selbst nachdem ich einen freigegebenen Ordner für alle 4 Gäste erstellt hatte, der sich auf dem Ubuntu-Desktop befindet (außerhalb von Virtualbox). Der Ordner und die darin enthaltenen Dateien waren nie betroffen, deshalb habe ich meine Zweifel bei Wine und wie sich dies darauf ausbreiten kann.
4. Habe ich es mit Wine getestet?
Leider war das so (ich hatte bereits ein Backup und hatte wichtige Jobdateien vorher vom Desktop verschoben). Im Grunde waren mein Desktop und mein Musikordner dem Untergang geweiht. Der Ordner, den ich auf einem anderen Laufwerk hatte, war jedoch nicht betroffen, vielleicht weil er zu diesem Zeitpunkt nicht gemountet war. Bevor wir uns jetzt hinreißen lassen: Ich musste Wine als Sudo ausführen, damit das funktionierte (ich führe Wine nie mit Sudo aus). In meinem Fall waren also, selbst mit Sudo, nur der Desktop und der Musikordner (für mich) betroffen.
Beachten Sie, dass Wine über eine Desktop-Integrationsfunktion verfügt. Selbst wenn Sie das Laufwerk C: in ein Laufwerk innerhalb des Wine-Ordners ändern (anstelle des Standardlaufwerks C), kann Wine trotzdem noch auf Ihren Linux-Home-Ordner zugreifen, da es Ihrem Home-Ordner für Dokumente, Videos, Downloads, das Speichern von Spieledateien usw. zugeordnet ist. Dies musste erklärt werden, da mir ein Video über einen Benutzer gesendet wurde, der WCry testete und das Laufwerk C in „Laufwerk_c“ änderte, das sich innerhalb des Ordners ~/.wine befindet, aber trotzdem auf den Home-Ordner zugegriffen wurde.
Wenn Sie die Auswirkungen auf Ihren Home-Ordner beim Testen mit Wine vermeiden oder zumindest verringern möchten, empfehle ich, die folgenden Ordner einfach zu deaktivieren, indem Sie sie auf denselben benutzerdefinierten Ordner in der Wine-Umgebung oder auf einen einzelnen gefälschten Ordner an einem anderen Ort verweisen.
Ich verwende Ubuntu 17.04 64-Bit, die Partitionen sind Ext4 und ich habe keine weiteren Sicherheitsmaßnahmen, außer einfach Ubuntu zu installieren, die Laufwerke zu formatieren und das System jeden Tag zu aktualisieren.
Antwort2
Welche Schritte müssen Linux-Benutzer unternehmen, um sich hiervor zu schützen, wenn sie beispielsweise Wine verwenden?
Nichts. Naja, vielleicht nicht nichts, aber nichts weiter. Es gelten die normalen Regeln: Erstellen Sie regelmäßig Backups Ihrer persönlichen Daten. Testen Sie Ihre Backups auch, damit Sie wissen, dass Sie sie bei Bedarf wiederherstellen können.
Zu beachten:
Wine ist nicht Windows. Verwenden Sie Wine nicht für:
- Mails öffnen,
- Dropbox-Links öffnen
- im Internet surfen.
Diese 3 Methoden scheinen die Verbreitung auf Maschinen zu ermöglichen. Wenn Sie das tun müssen, verwenden Sie Virtualbox bei einer normalen Installation.
Es verwendet auch Verschlüsselung und die Verschlüsselung unter Linux ist viel schwieriger als unter Windows. Wenn diese Malware Ihr Linux-System erreichen könnte, wären im schlimmsten Fall Ihre persönlichen Dateien
$home
gefährdet. Stellen Sie also einfach ein Backup wieder her, falls das jemals passiert.
Kein Wort darüber, ob Wine etwas in Bezug auf ein Sicherheitsupdate unternimmt.
Es ist kein Wine-Problem. Um es zu „beheben“, müssen Sie Windows-Komponenten verwenden, die das Problem behoben haben. Oder verwenden Sie einen Virenscanner in Wine, der diese Malware finden kann. Wine selbst kann keine Lösung bieten.
Noch einmal: Auch wenn Wine als Angriffsvektor verwendet werden kann, müssen Sie als Benutzer Dinge tun, die Sie von Wine aus nicht tun sollten, um sich zu infizieren: Sie müssen Wine verwenden, um eine bösartige Website oder einen bösartigen Link in einer E-Mail zu öffnen. Sie sollten bereitsniemalstun Sie das, da Wine über keinerlei Virenschutz verfügt. Wenn Sie solche Dinge tun müssen, sollten Sie Windows in einer Virtualbox verwenden (mit aktueller Software und Virenscanner).
Und wenn Sie sich über Wine infizieren: Es sind nur Ihre Dateien betroffen. Ihre /home
. Sie beheben das Problem, indem Sie das infizierte System löschen und das Backup wiederherstellen, das wir alle bereits erstellen. Das ist alles von der Linux-Seite.
Oh, wenn ein Benutzer „nicht so schlau“ ist und sudo
Wine verwendet, ist das das Problem des BENUTZERS. Nicht Wine.
Wenn überhaupt: Ich selbst bin bereits dagegen, Wine für irgendetwas zu verwenden. Die Verwendung eines Dual-Boots ohne Interaktion zwischen Linux und Windows oder die Verwendung einer Virtualbox mit einem aktuellen Windows und einem Virenscanner ist allem, was Wine bieten kann, weit überlegen.
Einige der hiervon betroffenen Unternehmen:
- Telephonica.
- Fedex.
- National Health Services (Großbritannien).
- Deutsche Bahn.
- Q-park (Europa. Parkservice).
- Renault.
Alle verwendeten ungepatchte Windows XP- und Windows 7-Systeme. Am schlimmsten war es beim NHS. Sie verwenden Windows auf Hardware, bei der sie die Betriebssysteme nicht aktualisieren können (...) und mussten die Patienten bitten, nicht mehr in die Krankenhäuser zu kommen und stattdessen die allgemeine Alarmnummer zu verwenden.
Bisher wurde noch kein einziger Linux- oder Wine-Rechner infiziert. Wäre das möglich? Ja (nicht einmal „wahrscheinlich“). Aber die Auswirkungen wären wahrscheinlich nur auf einem einzigen Rechner und hätten keinen Kaskadeneffekt. Dafür bräuchten sie unser Administratorkennwort. „Wir“ sind für diese Hacker also kaum von Interesse.
Wenn Sie daraus etwas lernen können, dann ... verwenden Sie Windows nicht mehr für E-Mails und allgemeine Internetaktivitäten auf einemUnternehmenServer. Und nein, Virenscanner sind NICHT das richtige Werkzeug dafür: Updates für Virenscanner werden NACH dem Auffinden des Virus erstellt. Das ist zu spät.
Sandbox Windows: Erlauben Sie keine Freigaben. Aktualisieren Sie diese Maschinen. -Kaufen- Sie ein neues Betriebssystem, wenn Microsoft eine Version einstellt. Verwenden Sie keine Raubkopien. Ein Unternehmen, das immer noch Windows XP verwendet, fordert dies.
Unsere Unternehmensrichtlinien:
- Verwenden Sie Linux.
- Verwenden Sie keine Freigaben.
- Verwenden Sie einen Passwort-Safe und speichern Sie keine Passwörter außerhalb des Safes.
- Nutzen Sie Online-Mail.
- Nutzen Sie den Online-Speicher für Dokumente.
- Verwenden Sie Windows in Virtualbox nur für Dinge, die Linux nicht kann. Unsere Kunden verwenden einige VPNs, die nur für Windows geeignet sind. Sie können eine Vbox vorbereiten und kopieren, wenn Sie die gesamte benötigte Software darin haben.
- Innerhalb unseres Unternehmens genutzte Windows-Systeme (z. B. private Notebooks) haben keinen Zutritt zum Firmennetzwerk.
Antwort3
Diese Malware scheint sich in zwei Schritten zu verbreiten:
Erstens über gute alte E-Mail-Anhänge: Ein Windows-Benutzer erhält eine E-Mail mit einer angehängten ausführbaren Datei und führt diese aus. Dabei handelt es sich nicht um eine Windows-Sicherheitslücke, sondern nur um die Unfähigkeit des Benutzers, eine ausführbare Datei aus einer nicht vertrauenswürdigen Quelle auszuführen (und die Warnung seiner Antivirensoftware, sofern vorhanden, zu ignorieren).
Anschließend versucht es, andere Computer im Netzwerk zu infizieren. Hier kommt die Windows-Sicherheitslücke ins Spiel: Wenn es im Netzwerk anfällige Computer gibt, kann die Malware diese ausnutzen, um sie zu infizieren.ohne Benutzeraktion.
Um insbesondere diese Frage zu beantworten:
Da ich Windows 8.1 seit 6 bis 8 Wochen nicht gestartet habe, kann ich diesen Patch von Ubuntu aus anwenden, ohne vorher Windows zu starten?
Sie können sich nur dann über diese Sicherheitslücke infizieren, wenn sich bereits ein infizierter Computer in Ihrem Netzwerk befindet. Ist dies nicht der Fall, können Sie ein anfälliges Windows sicher starten (und das Update sofort installieren).
Das bedeutet übrigens auch, dass Sie bei der Verwendung virtueller Maschinen nicht nachlässig sein können. Insbesondere wenn sie direkt mit dem Netzwerk verbunden ist (Bridged Networking), verhält sich eine virtuelle Windows-Maschine wie jede andere Windows-Maschine. Es ist Ihnen vielleicht egal, ob sie infiziert wird, aber sie kann auch andere Windows-Maschinen im Netzwerk infizieren.
Antwort4
Basierend auf dem, was alle bereits zu diesem Thema geschrieben und gesagt haben:
Die Ransomware WannaCrypt ist nicht für die Verwendung auf anderen Betriebssystemen als Windows (außer Windows 10) programmiert, da sie auf dem Exploit „Eternal Blue“ der NSA basiert, der eine Sicherheitslücke in Windows ausnutzt.
Das Ausführen von Wine unter Linux ist nicht unsicher, Sie können sich jedoch infizieren, wenn Sie diese Software für Downloads, E-Mail-Austausch und das Surfen im Internet verwenden. Wine hat Zugriff auf viele Ihrer /home-Ordnerpfade, was es dieser Malware ermöglicht, Ihre Daten zu verschlüsseln und Sie auf irgendeine Weise zu „infizieren“.
Kurz gesagt: Sofern die Cyberkriminellen WannaCrypt nicht absichtlich so entwickeln, dass es Debian-basierte (oder andere Linux-Distributionen) Betriebssysteme befällt, sollten Sie sich als Ubuntu-Benutzer diesbezüglich keine Sorgen machen. Es ist jedoch ratsam, sich über Cyber-Threads auf dem Laufenden zu halten.