1. 어떻게 퍼지나요?

1. 어떻게 퍼지나요?

Microsoft Windows를 표적으로 삼은 랜섬웨어가 사용자의 데이터를 암호화했기 때문에 지불해야 하는 몸값이 300달러라는 사실이 최근 밝혀졌습니다. 예를 들어 와인을 사용하는 경우 Linux 사용자는 이로부터 보호하기 위해 어떤 단계를 수행해야 합니까?

이 랜섬웨어는 NSA가 컴퓨터를 해킹하기 위해 개발한 도구를 기반으로 한 것으로 널리 알려져 있습니다. NSA 도구는 'The NSA'라는 해커 그룹이 사용했습니다.섀도우 브로커. 코드는 다음에서 찾을 수 있습니다.Github.

Microsoft는 패치(MS17-010)가 이 취약점에 대해 2017년 3월 14일에 조치를 취한 바 있습니다. 집단 감염은 4월 14일부터 확산되기 시작한 것으로 알려졌습니다. 이것은 논의된다여기.

6~8주 동안 Windows 8.1을 부팅하지 않았는데 Windows를 먼저 부팅하지 않고 Ubuntu에서 이 패치를 적용할 수 있습니까? (조사 후 ClamAV가 Windows 파티션을 조사하여 Linux 측에서 취약점을 보고할 수도 있지만 패치를 적용할 가능성은 낮습니다. 가장 좋은 방법은 Windows를 재부팅하고 패치 MS17-010을 적용하는 것입니다.)

Microsoft 자동 업데이트를 구독하는 개인 및 소규모 회사는 감염되지 않습니다. 조직 인트라넷을 대상으로 테스트할 때 패치 적용을 지연하는 대규모 조직은 감염될 가능성이 더 높습니다.

2017년 5월 13일, Microsoft는 3년 동안 지원되지 않았던 Windows XP용 패치를 출시하는 특별한 조치를 취했습니다.

와인이 보안 업데이트에 관해 어떤 조치를 취하고 있는지는 아무 말도 없습니다. 아래 댓글에서 사용자가 실행하면 Linux도 감염될 수 있다고 보고되었습니다.와인.

"우연한 영웅"랜섬웨어에 대한 킬 스위치 역할을 하는 도메인 이름을 등록했습니다. 존재하지 않는 도메인을 해커가 개인 인트라넷에서 사용했기 때문에 스스로 감염되지 않은 것으로 추정됩니다. 다음에는 더 똑똑해질 것이므로 현재의 킬 스위치에 의존하지 마십시오. SMBv1 프로토콜의 취약점 악용을 방지하는 Microsoft 패치를 설치하는 것이 가장 좋은 방법입니다.

2017년 5월 14일 Red Hat Linux는 "Wanna Cry" 랜섬웨어의 영향을 받지 않는다고 밝혔습니다. 이는 Red Hat, CentOS, ArchLinux 및 Fedora 사용자와 함께 Ubuntu 사용자를 오해할 수 있습니다. Red Hat은 아래 답변에 해당하는 와인을 지원합니다. 본질적으로 이 문제를 검색하는 Ubuntu 및 기타 Linux 배포판 사용자는 Red Hat Linux 지원 답변으로 인해 오해를 받을 수 있습니다.여기.

2017년 5월 15일 업데이트. 지난 48시간 동안 Microsoft는 다음과 같은 패치를 출시했습니다.KB4012598~을 위한윈도우 8, XP, 비스타, 서버 2008 및 서버 2003"Wanna Cry" 랜섬웨어로부터 보호합니다. 이러한 Windows 버전은 더 이상 자동 업데이트되지 않습니다. 어제 Windows 8.1 플랫폼에 보안 업데이트 MS17-010을 적용했지만 기존 Vista 노트북에는 여전히 패치 KB4012598을 다운로드하여 수동으로 적용해야 합니다.


진행자 참고 사항:이 질문은 주제에서 벗어난 것이 아닙니다. Linux 사용자가 위험으로부터 보호하기 위해 어떤 조치를 취해야 하는지 여부를 묻는 질문입니다.

이는 Linux(Ubuntu가 있음)와 관련이 있고 Wine 또는 유사한 호환성 계층을 실행하는 Ubuntu 사용자 또는 Ubuntu Linux 시스템의 VM과도 관련이 있기 때문에 여기서 주제에 완벽하게 들어맞습니다.

답변1

도움이 되고 보완한다면Rinzwind의 답변, 먼저 질문:

1. 어떻게 퍼지나요?

이메일을 통해. 친구 2명이 영향을 받았습니다. 감독되는 환경에서 테스트하기 위해 나에게 이메일을 보내므로 기본적으로 이메일을 열고 첨부 파일을 다운로드하여 실행해야 합니다. 초기 오염 이후에는 네트워크를 체계적으로 검사하여 다른 사람이 영향을 받을 수 있는지 확인합니다.

2. 와인을 사용하면 영향을 받을 수 있나요?

짧은 대답: 그렇습니다. Wine은 Windows 환경의 거의 모든 동작을 에뮬레이트하므로 웜은 실제로 사용자에게 어떤 영향을 미칠 수 있는지에 대한 방법을 찾으려고 시도할 수 있습니다. 최악의 시나리오는 Ubuntu 시스템에 대한 직접 액세스 와인에 따라 집의 일부 또는 전체 부분이 영향을 받게 된다는 것입니다(완전히 테스트하지는 않았습니다. 아래 답변 4 참조). 웜이 어떻게 작동하는지, ntfs/fat가 아닌 파티션/파일을 암호화하려고 시도하는 방법 및 이를 수행하는 데 최고 관리자가 아닌 권한이 필요한지(Wine에서 오는 경우에도) Windows에서처럼 완전한 권한을 갖지 못합니다. 어쨌든 이를 위해서는 안전한 측면에서 플레이하는 것이 좋습니다.

3. 해당 내용이 포함된 이메일을 받은 후 어떻게 동작을 테스트할 수 있습니까?

동일한 네트워크에 있는 4개의 VirtualBox 컨테이너를 사용한 초기 테스트는 3일 만에 끝났습니다. 기본적으로 0일차에 의도적으로 첫 번째 Windows 10 시스템을 오염시켰습니다. 3일 후, 4개 모두 암호화에 대한 "으악" 메시지와 함께 영향을 받고 암호화되었습니다. 반면 Ubuntu는 Ubuntu 데스크탑(Virtualbox 외부)에 있는 4개 게스트 모두에 대한 공유 폴더를 생성한 후에도 영향을 받지 않았습니다. 폴더와 그 안의 파일은 전혀 영향을 받지 않았기 때문에 Wine에 대해 의구심을 품고 이것이 어떻게 전파될 수 있는지 의심스럽습니다.

4. Wine에서 테스트했나요?

안타깝게도 그렇게 했습니다(이미 백업이 있었고 그 전에 데스크탑에서 중요한 작업 파일을 옮겼습니다). 기본적으로 내 데스크탑과 음악 폴더는 망가졌습니다. 그러나 다른 드라이브에 있는 폴더에는 영향을 미치지 않았습니다. 당시 폴더가 마운트되지 않았기 때문일 수 있습니다. 이제 우리가 흥분하기 전에 이것이 작동하려면 와인을 sudo로 실행해야 했습니다(나는 sudo로 와인을 실행하지 않습니다). 그래서 제 경우에는 sudo를 사용해도 데스크톱과 음악 폴더(나의 경우)만 영향을 받았습니다.

Wine에는 데스크탑 통합 기능이 있습니다. C: 드라이브를 Wine 폴더 내부의 드라이브(기본 드라이브 c 대신)로 변경하더라도 Linux 홈 폴더에 매핑되기 때문에 여전히 Linux 홈 폴더에 접근할 수 있습니다. 문서, 비디오, 다운로드, 게임 파일 저장 등을 위한 홈 폴더. WCry를 테스트하는 사용자에 대한 비디오를 보냈고 그가 C 드라이브를 ~/.wine 내부에 있는 "drive_c"로 변경했기 때문에 이에 대해 설명해야 했습니다. 폴더에 있었지만 그는 여전히 홈 폴더에 영향을 받았습니다.

와인으로 테스트할 때 홈 폴더에 미치는 영향을 피하거나 최소한 낮추고 싶다면 다음 폴더를 와인 환경 내의 동일한 사용자 정의 폴더나 다른 곳에 있는 단일 가짜 폴더를 지정하여 간단히 비활성화하는 것이 좋습니다.

여기에 이미지 설명을 입력하세요

Ubuntu 17.04 64비트를 사용하고 있으며 파티션은 Ext4이며 단순히 Ubuntu를 설치하고 드라이브를 포맷하고 매일 시스템을 업데이트하는 것 외에는 다른 보안 조치가 없습니다.

답변2

예를 들어 와인을 사용하는 경우 Linux 사용자는 이로부터 보호하기 위해 어떤 단계를 수행해야 합니까?

아무것도 아님. 아마도 아무것도 아니지만 추가 사항은 없을 것입니다. 일반적인 규칙이 적용됩니다. 개인 데이터를 정기적으로 백업하십시오. 또한 백업을 테스트하여 필요할 때 복원할 수 있는지 확인하세요.

참고 사항:

  1. 와인은 윈도우가 아니다. 다음과 같은 목적으로 와인을 사용하지 마십시오:

    1. 메일 열기,
    2. 드롭박스 링크 열기
    3. 웹을 탐색하세요.

      그 3개는 이것이 기계에 퍼지는 것처럼 보입니다. 그렇게 해야 한다면 일반 설치와 함께 virtualbox를 사용하십시오.
  2. 또한 암호화를 사용하며 Linux에서의 암호화는 Windows보다 훨씬 어렵습니다. 이 악성 코드가 Linux 시스템에 접근할 수 있다면 최악의 경우 개인 파일이 $home손상될 수 있습니다. 따라서 그런 일이 발생하면 백업을 복원하십시오.


와인이 보안 업데이트에 관해 어떤 조치를 취하고 있는지는 아무 말도 없습니다.

와인 문제는 아닙니다. 이 문제를 "수정"한다는 것은 이 문제가 수정된 Windows 구성 요소를 사용해야 함을 의미합니다. 또는 이 악성 코드를 찾을 수 있는 와인의 바이러스 스캐너를 사용하십시오. 와인 자체는 어떤 형태의 수정도 제공할 수 없습니다.

다시 말하지만, 와인이 공격 벡터로 사용될 수 있더라도 감염되기 위해서는 사용자로서 와인에서 해서는 안 되는 일을 해야 합니다. 악성 웹사이트를 열려면 와인을 사용해야 하고, 메일의 악성 링크를 열어야 합니다. 당신은 이미해야절대와인에는 어떤 형태의 바이러스 보호 기능도 제공되지 않기 때문에 그렇게 하세요. 그런 일을 해야 한다면 버추얼박스(최신 소프트웨어와 바이러스 스캐너 포함)의 창을 사용해야 합니다.

그리고 와인을 통해 감염되면 귀하의 파일에만 영향을 미칩니다. 당신의 /home. 따라서 감염된 시스템을 삭제하고 이미 만든 백업을 복원하여 문제를 해결합니다. Linux 쪽에서는 그렇습니다.

아, 사용자가 '그렇게 똑똑하지 않아' sudo와인과 함께 사용하는 것은 사용자의 문제입니다. 와인이 아닙니다.

만약 그렇다면: 나 자신은 이미 와인을 어떤 용도로든 사용하는 것에 반대하고 있습니다. Linux와 Windows 간의 상호 작용 없이 듀얼 부팅을 사용하거나 최신 Windows가 포함된 VirtualBox를 사용하고 바이러스 스캐너를 사용하는 것은 와인이 제공할 수 있는 어떤 것보다 훨씬 우수합니다.


이로 인해 영향을 받는 일부 회사는 다음과 같습니다.

  • 텔레포니카.
  • 페덱스.
  • 국민건강서비스(영국).
  • Deutsche Bahn(독일 철도).
  • Q-park (유럽. 주차 서비스).
  • 르노.

모두 패치되지 않은 Windows XP 및 Windows 7 시스템을 사용했습니다. 가장 나쁜 곳은 NHS였습니다. 운영 체제를 업그레이드할 수 없는 하드웨어에서 Windows를 사용하고(...) 환자에게 병원 방문을 중단하고 대신 일반 경보 번호를 사용하도록 요청해야 했습니다.

아직까지는 Linux를 사용하는 단일 시스템이나 와인을 사용하는 단일 시스템이 감염되지 않았습니다. 그게 가능할까요? 예("아마도"도 아님). 그러나 그 영향은 아마도 단일 시스템일 것이며 계단식 효과는 없을 것입니다. 이를 위해서는 관리자 비밀번호가 필요합니다. 따라서 "우리"는 해커들에게 별 관심이 없습니다.

이것으로부터 배울 점이 있다면... 컴퓨터에서 메일 및 일반 인터넷 활동에 Windows 사용을 중단하세요.회사섬기는 사람. 그리고 아니요, 바이러스 스캐너는 이에 대한 올바른 도구가 아닙니다. 바이러스 스캐너에 대한 업데이트는 바이러스가 발견된 후에 생성됩니다. 너무 늦었어요.

샌드박스 Windows: 공유를 허용하지 않습니다. 해당 기계를 업데이트하십시오. -구매- Microsoft에서 버전을 출시하면 새 운영 체제를 구매하세요. 불법 복제 소프트웨어를 사용하지 마십시오. 아직도 Windows XP를 사용하고 있는 회사에서는 이런 일이 일어나도록 요구하고 있습니다.


우리 회사 정책:

  • 리눅스를 사용하세요.
  • 공유를 사용하지 마십시오.
  • 비밀번호 금고를 사용하고 금고 외부에 비밀번호를 저장하지 마세요.
  • 온라인 메일을 사용하세요.
  • 문서용으로 온라인 저장소를 사용하세요.
  • Linux가 할 수 없는 작업에는 virtualbox 내에서 Windows만 사용하세요. 클라이언트가 Windows 전용으로 사용하는 일부 VPN이 있습니다. vbox를 준비하고 필요한 모든 소프트웨어가 있으면 복사할 수 있습니다.
  • 회사 내부에서 사용하는 Windows 시스템(예: 개인 노트북)은 회사 네트워크에서 허용되지 않습니다.

답변3

이 악성코드는 다음 두 단계로 확산되는 것으로 보입니다.

  • 첫째, 좋은 전자 메일 첨부 파일을 통해 Windows 사용자는 첨부된 실행 파일이 포함된 전자 메일을 받고 이를 실행합니다. 여기에 관련된 Windows 취약점은 없습니다. 신뢰할 수 없는 소스에서 실행 파일을 실행하는 데 있어 사용자의 무능함(그리고 바이러스 백신 소프트웨어의 경고가 있는 경우 이를 무시함)입니다.

  • 그런 다음 네트워크의 다른 컴퓨터를 감염시키려고 시도합니다. 이것이 바로 Windows 취약점이 작용하는 지점입니다. 네트워크에 취약한 시스템이 있는 경우 맬웨어는 이를 사용하여 해당 시스템을 감염시킬 수 있습니다.사용자 작업 없이.

특히 이 질문에 답하려면 다음과 같이 하세요.

6~8주 동안 Windows 8.1을 부팅하지 않았는데 Windows를 먼저 부팅하지 않고 Ubuntu에서 이 패치를 적용할 수 있습니까?

네트워크에 이미 감염된 시스템이 있는 경우에만 이 취약점을 통해 감염될 수 있습니다. 그렇지 않은 경우 취약한 Windows를 부팅하고 즉시 업데이트를 설치하는 것이 안전합니다.

이는 또한 가상 머신을 사용한다고 해서 부주의할 수 있다는 의미는 아닙니다. 특히 네트워크에 직접 연결된 경우(브리지 네트워킹) Windows 가상 머신은 다른 Windows 머신처럼 작동합니다. 감염되더라도 크게 신경 쓰지 않을 수도 있지만 네트워크의 다른 Windows 시스템도 감염시킬 수 있습니다.

답변4

이미 이 주제에 대해 모두가 쓰고 말한 내용을 바탕으로:

WannaCrypt 랜섬웨어는 Windows 보안 위반을 이용하는 NSA Eternal Blue 익스플로잇을 기반으로 하기 때문에 Windows 이외의 다른 OS(Windows 10 제외)에서 작동하도록 코딩되지 않습니다.

Linux에서 Wine을 실행하는 것은 안전하지 않지만 이 소프트웨어를 다운로드, 이메일 교환 및 웹 검색에 사용하면 감염될 수 있습니다. Wine은 많은 /home 폴더 경로에 액세스할 수 있으므로 이 악성 코드가 귀하의 데이터를 암호화하고 어떤 방식으로든 귀하를 "감염"시킬 수 있습니다.

간단히 말하면: 사이버 범죄자가 Debian(또는 다른 Linux 배포판) 기반 OS에 영향을 미치도록 WannaCrypt를 의도적으로 설계하지 않는 한 Ubuntu 사용자로서 이 주제에 대해 걱정할 필요는 없지만 사이버 스레드에 대해 항상 주의를 기울이는 것이 좋습니다.

관련 정보