1. ¿Cómo se propaga?

tag-icon tag-icon windows wine malware
1. ¿Cómo se propaga?

Acaba de salir a la luz que hay que pagar un rescate de 300 dólares porque el ransomware dirigido a Microsoft Windows ha cifrado sus datos. ¿Qué pasos deben seguir los usuarios de Linux para protegerse de esto si, por ejemplo, utilizan Wine?

Se informa ampliamente que este ransomware se basa en una herramienta desarrollada por la NSA para piratear computadoras. La herramienta de la NSA fue utilizada por un grupo de piratas informáticos llamadoCorredores en la sombra. El código se puede encontrar enGitHub.

Microsoft lanzó un parche (MS17-010) contra esta vulnerabilidad el 14 de marzo de 2017. Se informa que la infección masiva comenzó a propagarse el 14 de abril. esto se discuteaquí.

Como no he iniciado Windows 8.1 en 6 a 8 semanas, ¿puedo aplicar este parche desde Ubuntu sin iniciar Windows primero? (Después de la investigación, es posible que ClamAV pueda informar la vulnerabilidad desde el lado de Linux examinando la partición de Windows, pero es poco probable que pueda aplicar el parche. El mejor método sería reiniciar Windows y aplicar el parche MS17-010).

Las personas y las pequeñas empresas que se suscriben a las actualizaciones automáticas de Microsoft no están infectadas. Las organizaciones más grandes que retrasan la aplicación de los parches mientras se prueban en las intranets de la organización tienen más probabilidades de infectarse.

El 13 de mayo de 2017, Microsoft dio el extraordinario paso de lanzar un parche para Windows XP que no ha recibido soporte durante 3 años.

No se sabe si Wine está haciendo algo con respecto a una actualización de seguridad. Se informó en un comentario a continuación que Linux también puede infectarse cuando los usuarios ejecutanvino.

Un"héroe accidental"registró un nombre de dominio que actuó como un interruptor de apagado para el ransomware. Supongo que los piratas informáticos utilizaron el dominio inexistente en su intranet privada para no infectarse. La próxima vez serán más inteligentes, así que no confíes en este interruptor de apagado actual. Instalar el parche de Microsoft, que impide explotar una vulnerabilidad en el protocolo SMBv1, es el mejor método.

El 14 de mayo de 2017, Red Hat Linux dijo que no se ve afectado por el ransomware "Wanna Cry". Esto podría engañar a los usuarios de Ubuntu junto con los usuarios de Red Hat, CentOS, ArchLinux y Fedora. Red Hat admite vino, cuyas respuestas a continuación confirman que se puede realizar. En esencia, los usuarios de Ubuntu y otras distribuciones de Linux que busquen en Google este problema podrían ser engañados por la respuesta del soporte de Red Hat Linux.aquí.

Actualización del 15 de mayo de 2017. Durante las últimas 48 horas, Microsoft lanzó parches llamadosKB4012598paraWindows 8, XP, Vista, Servidor 2008 y Servidor 2003para protegerse contra el ransomware "Wanna Cry". Estas versiones de Windows ya no cuentan con actualizaciones automáticas. Aunque ayer apliqué la actualización de seguridad MS17-010 en mi plataforma Windows 8.1, mi antigua computadora portátil Vista todavía necesita descargar y aplicar manualmente el parche KB4012598.

Nota del moderador:Esta pregunta no está fuera de tema: pregunta si algún usuario de Linux debe tomar alguna medida para protegerse contra el riesgo.

Está perfectamente en el tema aquí, porque es relevante para Linux (que es Ubuntu), y también es relevante para los usuarios de Ubuntu que ejecutan Wine o capas de compatibilidad similares, o incluso máquinas virtuales en sus máquinas Ubuntu Linux.

Respuesta1

Si ayuda y para complementarLa respuesta de Rinzwind, primero las preguntas:

1. ¿Cómo se propaga?

Vía correo electrónico. 2 amigos se vieron afectados por esto. Me envían el correo electrónico para probarlo en un entorno supervisado, por lo que básicamente necesitarías abrir el correo electrónico, descargar el archivo adjunto y ejecutarlo. Después de la contaminación inicial, comprobará sistemáticamente la red para ver quién más puede verse afectado.

2. ¿Puedo verme afectado por el uso de Wine?

Respuesta corta: sí. Dado que Wine emula casi todos los comportamientos del entorno de Windows, el gusano puede intentar encontrar formas de afectarle. El peor de los casos es que, dependiendo del acceso directo que tenga Wine a su sistema Ubuntu, algunas o todas las partes de su hogar se verán afectadas (no lo probé completamente. Consulte la respuesta 4 a continuación), aunque veo muchos obstáculos aquí para cómo se comporta el gusano y cómo intentaría cifrar una partición/archivos que no sean ntfs/fat y qué permiso que no sea de superadministrador necesitaría para hacer esto, incluso viniendo de Wine, por lo que no tiene plenos poderes como en Windows. En cualquier caso, es mejor ir a lo seguro.

3. ¿Cómo puedo probar el comportamiento de esto una vez que recibo un correo electrónico que lo contiene?

Mi prueba inicial que involucró 4 contenedores VirtualBox en la misma red terminó en 3 días. Básicamente, el día 0, contaminé a propósito el primer sistema Windows 10. Después de 3 días, los 4 se vieron afectados y cifrados con el mensaje "Ups" sobre el cifrado. Ubuntu, por otro lado, nunca se vio afectado, incluso después de crear una carpeta compartida para los 4 invitados que se encuentra en el escritorio de Ubuntu (fuera de Virtualbox). La carpeta y los archivos que contiene nunca se vieron afectados, por eso tengo mis dudas con Wine y cómo esto puede propagarse en él.

4. ¿Lo probé en Wine?

Lamentablemente lo hice (ya tenía una copia de seguridad y moví archivos de trabajo críticos desde el escritorio antes de hacerlo). Básicamente, mi escritorio y mi carpeta de música estaban condenados. Sin embargo, no afectó a la carpeta que tenía en otra unidad, tal vez porque no estaba montada en ese momento. Ahora, antes de dejarnos llevar, necesitaba ejecutar Wine como sudo para que esto funcione (nunca ejecuto Wine con Sudo). Entonces, en mi caso, incluso con sudo, solo el escritorio y la carpeta de música (para mí) se vieron afectados.

Tenga en cuenta que Wine tiene una función de integración de escritorio donde, incluso si cambia la unidad C: a algo dentro de la carpeta Wine (en lugar de la unidad c predeterminada), aún podrá acceder a su carpeta de inicio de Linux ya que se asigna a su Carpeta de inicio para documentos, videos, descargas, guardar archivos de juegos, etc. Esto necesitaba explicarse ya que me enviaron un video sobre un usuario que probaba WCry y cambió la unidad C a "drive_c", que está dentro de ~/.wine. carpeta pero aún así se vio afectado en la carpeta de inicio.

Mi recomendación si desea evitar o al menos reducir el impacto en su carpeta de inicio al realizar pruebas con Wine es simplemente deshabilitar las siguientes carpetas apuntándolas a la misma carpeta personalizada dentro del entorno Wine o a una única carpeta falsa en cualquier otro lugar.

ingrese la descripción de la imagen aquí

Estoy usando Ubuntu 17.04 de 64 bits, las particiones son Ext4 y no tengo otras medidas de seguridad aparte de simplemente instalar Ubuntu, formatear las unidades y actualizar el sistema todos los días.

Respuesta2

¿Qué pasos deben seguir los usuarios de Linux para protegerse de esto si, por ejemplo, utilizan Wine?

Nada. Bueno, tal vez no nada, pero nada extra. Se aplican las reglas habituales: realice copias de seguridad periódicas de sus datos personales. También pruebe sus copias de seguridad para saber que puede restaurarlas cuando sea necesario.

Cosas a tener en cuenta:

  1. El vino no es Windows. No uses vino para:

    1. abrir correos,
    2. abrir enlaces de dropbox
    3. navegar por la web.

      Esas tres son las formas en que esto parece extenderse a las máquinas. Si necesita hacer eso, use virtualbox con una instalación normal.

  2. También utiliza cifrado y el cifrado en Linux es mucho más difícil que en Windows. Si este malware pudiera afectar su sistema Linux, en el peor de los casos, sus archivos personales $homeestarían comprometidos. Así que simplemente restaure una copia de seguridad si eso sucede alguna vez.

No se sabe si Wine está haciendo algo con respecto a una actualización de seguridad.

No es un problema del vino. "Reparar" esto significaría que necesita usar componentes de Windows que lo tengan solucionado. O utilice un escáner de virus en Wine que pueda encontrar este malware. El vino por sí solo no puede proporcionar ningún tipo de solución.

Nuevamente: aunque Wine se puede usar como vector de ataque, aún necesita hacer cosas como usuario que no debería hacer desde Wine para infectarse: necesita usar Wine para abrir un sitio web malicioso, un enlace malicioso en un correo. ya deberíasnuncahágalo ya que el vino no viene con ningún tipo de protección antivirus. Si necesita hacer cosas así, debería usar Windows en una caja virtual (con software actualizado y escáner de virus).

Y cuando te infectes por Wine: sólo afectará a los archivos que sean tuyos. Su /home. Entonces, eso se soluciona eliminando el sistema infectado y restaurando la copia de seguridad que todos ya hacemos. Eso es todo desde el lado de Linux.

Oh, cuando un usuario 'no es tan inteligente' y consume sudovino, es problema del USUARIO. No vino.

En todo caso, yo mismo ya estoy en contra de utilizar el vino para cualquier cosa. Usar un arranque dual sin interacción entre Linux y Windows o usar una caja virtual con Windows actualizado y usar un escáner de virus es muy superior a cualquier cosa que Wine pueda ofrecer.

Algunas de las empresas afectadas por esto:

  • Telefónica.
  • Fedex.
  • Servicios Nacionales de Salud (Gran Bretaña).
  • Deutsche Bahn (Ferrocarril Alemán).
  • Q-park (Europa. Servicio de aparcamiento).
  • Renault.

Todos utilizaron sistemas Windows XP y Windows 7 sin parches. El peor fue el NHS. Usan Windows en hardware donde no pueden actualizar los sistemas operativos (...) y tuvieron que pedir a los pacientes que dejaran de venir a los hospitales y usaran el número de alarma general.

Hasta el momento, ni una sola máquina que usa Linux o una sola máquina que usa Wine ha sido infectada. ¿Se podría hacer? Sí (ni siquiera "probablemente"). Pero el impacto probablemente sería sobre una sola máquina y no tendría un efecto en cascada. Necesitarían nuestra contraseña de administrador para eso. Así que "nosotros" somos de poco interés para esos hackers.

En todo caso, podemos aprender de esto... dejar de usar Windows para el correo y las actividades generales de Internet en uncompañíaservidor. Y no, los escáneres de virus NO son la herramienta correcta para esto: las actualizaciones para los escáneres de virus se crean DESPUÉS de que se encuentra el virus. Eso es demasiado tarde.

Sandbox Windows: no permite compartir. Actualice esas máquinas. -Comprar- un nuevo sistema operativo cuando Microsoft pueda tener una versión. No utilices software pirateado. Una empresa que todavía utiliza Windows XP está pidiendo que esto suceda.

Nuestras políticas de empresa:

  • Utilice Linux.
  • No utilices acciones.
  • Utilice una caja fuerte con contraseña y no guarde contraseñas fuera de la caja fuerte.
  • Utilice el correo en línea.
  • Utilice el almacenamiento en línea para documentos.
  • Utilice Windows únicamente dentro de virtualbox para cosas que Linux no puede hacer. Tenemos algunas VPN que usan nuestros clientes y que son solo para Windows. Puede preparar un vbox y copiarlo cuando tenga todo el software que necesita.
  • Los sistemas Windows que se utilizan dentro de nuestra empresa (por ejemplo, portátiles personales) no están permitidos en la red de la empresa.

Respuesta3

Este malware parece propagarse en dos pasos:

  • Primero, a través de los viejos archivos adjuntos de correo electrónico: un usuario de Windows recibe un correo electrónico con un ejecutable adjunto y lo ejecuta. Aquí no hay ninguna vulnerabilidad de Windows involucrada; simplemente la ineptitud del usuario al ejecutar un ejecutable desde una fuente que no es confiable (e ignorar la advertencia de su software antivirus, si corresponde).

  • Luego intenta infectar otros ordenadores de la red. Ahí es donde entra en juego la vulnerabilidad de Windows: si hay máquinas vulnerables en la red, el malware puede utilizarla para infectarlas.sin ninguna acción del usuario.

En particular, para responder a esta pregunta:

Como no he iniciado Windows 8.1 en 6 a 8 semanas, ¿puedo aplicar este parche desde Ubuntu sin iniciar Windows primero?

Sólo puede infectarse a través de esta vulnerabilidad si ya hay una máquina infectada en su red. Si ese no es el caso, es seguro iniciar un Windows vulnerable (e instalar la actualización de inmediato).

Por cierto, esto también significa que usar máquinas virtuales no significa que puedas ser descuidado. Especialmente si está conectada directamente a la red (red en puente), una máquina virtual de Windows se comporta como cualquier otra máquina de Windows. Puede que no le importe mucho si se infecta, pero también puede infectar otras máquinas con Windows en la red.

Respuesta4

Basado en lo que todos ya escribieron y hablaron sobre este tema:

El ransomware WannaCrypt no está codificado para funcionar en otros sistemas operativos que no sean Windows (sin incluir Windows 10) porque se basa en el exploit NSA Eternal Blue, que aprovecha una brecha de seguridad de Windows.

Ejecutar Wine en Linux no es peligroso, pero puedes infectarte si utilizas este software para descargas, intercambio de correo electrónico y navegación web. Wine tiene acceso a muchas de las rutas de su carpeta /home, lo que hace posible que este malware cifre sus datos y lo "infecte" de alguna manera.

En pocas palabras: a menos que los ciberdelincuentes diseñen intencionalmente WannaCrypt para afectar los sistemas operativos basados ​​en Debian (u otra distribución de Linux), no debería preocuparse por este tema como usuario de Ubuntu, aunque es saludable mantenerse al tanto de los ciberhilos.

información relacionada