
Acabou de descobrir que há um resgate de US$ 300 que você precisa pagar porque o ransomware direcionado ao Microsoft Windows criptografou seus dados. Quais etapas os usuários do Linux precisam para se proteger disso se, por exemplo, estiverem usando vinho?
É amplamente divulgado que esse ransomware se baseia em uma ferramenta desenvolvida pela NSA para invadir computadores. A ferramenta NSA foi usada por um grupo de hackers chamadoCorretores das Sombras. O código pode ser encontrado emGitHub.
A Microsoft lançou um patch (MS17-010) contra esta vulnerabilidade em 14 de março de 2017. A infecção em massa começou a se espalhar em 14 de abril. Isso é discutidoaqui.
Como não inicializo o Windows 8.1 há 6 a 8 semanas, posso aplicar esse patch do Ubuntu sem inicializar o Windows primeiro? (Após a pesquisa, pode ser possível que o ClamAV possa relatar a vulnerabilidade do lado do Linux olhando para a partição do Windows, mas é improvável que possa aplicar o patch. O melhor método seria reinicializar no Windows e aplicar o patch MS17-010.)
Indivíduos e pequenas empresas que assinam as Atualizações Automáticas da Microsoft não estão infectados. Organizações maiores que demoram a aplicar patches à medida que são testados nas intranets da organização têm maior probabilidade de serem infectadas.
Em 13 de maio de 2017, a Microsoft deu um passo extraordinário ao lançar um patch para o Windows XP que não tem suporte há 3 anos.
Nenhuma palavra se o wine está fazendo alguma coisa sobre uma atualização de segurança. Foi relatado em um comentário abaixo que o Linux também pode ser infectado quando os usuários executamvinho.
Um"herói acidental"registrou um nome de domínio que funcionou como um interruptor para o ransomware. Presumo que o domínio inexistente tenha sido usado pelos hackers em sua intranet privada para que não se infectassem. Da próxima vez eles serão mais espertos, então não confie neste interruptor de interrupção atual. Instalar o patch da Microsoft, que evita a exploração de uma vulnerabilidade no protocolo SMBv1, é o melhor método.
Em 14 de maio de 2017, o Red Hat Linux disse que não foi afetado pelo ransomware "Wanna Cry". Isso pode enganar os usuários do Ubuntu junto com os usuários do Red Hat, CentOS, ArchLinux e Fedora. A Red Hat suporta vinho, cujas respostas abaixo confirmam que podem ser efetuadas. Em essência, os usuários do Ubuntu e de outras distribuições Linux que pesquisam esse problema no Google podem ser enganados pela resposta do Suporte Red Hat Linuxaqui.
Atualização de 15 de maio de 2017. Nas últimas 48 horas, a Microsoft lançou patches chamadosKB4012598paraWindows 8, XP, Vista, Servidor 2008 e Servidor 2003para se proteger contra o ransomware "Wanna Cry". Essas versões do Windows não estão mais em atualizações automáticas. Embora eu tenha aplicado ontem a atualização de segurança MS17-010 em minha plataforma Windows 8.1, meu antigo laptop Vista ainda precisa do patch KB4012598 baixado e aplicado manualmente.
Nota do moderador:Esta questão não está fora do tópico - ela pergunta se algum usuário do Linux precisa ou não executar alguma etapa para se proteger contra o risco.
Está perfeitamente no tópico aqui, porque é relevante para Linux (que é o Ubuntu), e também é relevante para usuários do Ubuntu executando Wine ou camadas de compatibilidade semelhantes, ou mesmo VMs em suas máquinas Ubuntu Linux.
Responder1
Se ajudar e complementarA resposta de Rinzwind, primeiro as perguntas:
1. Como se espalha?
Via email. 2 amigos foram afetados por isso. Eles me enviam o e-mail para testar em um ambiente supervisionado, então basicamente você precisaria abrir o e-mail, baixar o anexo e executá-lo. Após a contaminação inicial, verificará sistematicamente a rede para ver quem mais pode ser afetado.
2. Posso ser afetado pelo uso do Wine?
Resposta curta: Sim. Como o Wine emula quase todos os comportamentos do ambiente Windows, o worm pode realmente tentar encontrar maneiras de afetá-lo. O pior cenário é que dependendo do acesso direto que o wine tem ao seu sistema Ubuntu, algumas ou todas as partes da sua casa serão afetadas (não testei isso completamente. Veja a resposta 4 abaixo), embora eu veja muitos obstáculos aqui para como o worm se comporta e como ele tentaria criptografar uma partição/arquivos não NTFS/FAT e que permissão não-superadministradora seria necessária para fazer isso, mesmo vindo do Wine, por isso não tem poderes completos como no Windows. Em qualquer caso, é melhor jogar pelo seguro para isso.
3. Como posso testar o comportamento disso depois de receber um e-mail com isso?
Meu teste inicial que envolveu 4 contêineres VirtualBox na mesma rede terminou em 3 dias. Basicamente no dia 0, contaminei propositalmente o primeiro sistema Windows 10. Após 3 dias, todos os 4 foram afetados e criptografados com a mensagem “Opa” sobre a criptografia. O Ubuntu, por outro lado, nunca foi afetado, mesmo depois de criar uma pasta compartilhada para todos os 4 convidados que estão na área de trabalho do Ubuntu (fora do Virtualbox). A pasta e os arquivos nela contidos nunca foram afetados, por isso tenho minhas dúvidas com o Wine e como isso pode se propagar nele.
4. Testei no Wine?
Infelizmente eu fiz (já fiz um backup e movi arquivos de trabalho críticos da área de trabalho antes de fazer isso). Basicamente, minha área de trabalho e minha pasta de músicas estavam condenadas. No entanto, isso não afetou a pasta que eu tinha em outra unidade, talvez porque ela não estivesse montada no momento. Agora, antes de nos empolgarmos, eu precisava executar o wine como sudo para que isso funcionasse (nunca executo o wine com sudo). Então, no meu caso, mesmo com o sudo, apenas a área de trabalho e a pasta de músicas (para mim) foram afetadas.
Observe que o Wine tem um recurso de integração de desktop onde, mesmo se você alterar a unidade C: para algo dentro da pasta Wine (em vez da unidade padrão c), ele ainda será capaz de acessar sua pasta Home do Linux, uma vez que mapeia para seu pasta inicial para documentos, vídeos, download, salvamento de arquivos de jogos, etc. Isso precisava ser explicado já que recebi um vídeo sobre um usuário testando o WCry e ele mudou o Drive C para "drive_c" que está dentro do ~/.wine pasta, mas ele ainda foi afetado na pasta pessoal.
Minha recomendação se você deseja evitar ou pelo menos diminuir o impacto em sua pasta pessoal ao testar com wine é simplesmente desabilitar as seguintes pastas apontando-as para a mesma pasta personalizada dentro do ambiente wine ou para uma única pasta falsa em qualquer outro lugar.
Estou usando o Ubuntu 17.04 64 bits, as partições são Ext4 e não tenho outras medidas de segurança além de simplesmente instalar o Ubuntu, formatar os drives e atualizar o sistema todos os dias.
Responder2
Quais etapas os usuários do Linux precisam para se proteger disso se, por exemplo, estiverem usando vinho?
Nada. Bem, talvez não nada, mas nada extra. Aplicam-se as regras normais: faça backups regulares dos seus dados pessoais. Teste também seus backups para saber que pode restaurá-los quando necessário.
Coisas a serem observadas:
Vinho não é Windows. Não use vinho para:
- abrir e-mails,
- abrir links da caixa de depósito
- pesquisar na internet.
Esses três são a maneira como isso parece se espalhar pelas máquinas. Se você precisar fazer isso, use o virtualbox com uma instalação normal.
Ele também usa criptografia e criptografar no Linux é muito mais difícil do que no Windows. Se esse malware conseguir atingir seu sistema Linux, na pior das hipóteses, seus arquivos pessoais
$home
serão comprometidos. Portanto, basta restaurar um backup se isso acontecer.
Nenhuma palavra se o wine está fazendo alguma coisa sobre uma atualização de segurança.
Não é um problema do vinho. "Consertar" isso significaria que você precisa usar componentes do Windows que tenham isso corrigido. Ou use um antivírus no Wine que possa encontrar esse malware. O vinho em si não pode fornecer nenhuma forma de solução.
Novamente: mesmo que o wine possa ser usado como vetor de ataque, você ainda precisa fazer coisas como usuário que não deveria fazer no wine para ser infectado: você precisa usar o wine para abrir um site malicioso, um link malicioso em um e-mail. Você já deverianuncafaça isso, pois o vinho não vem com nenhuma forma de proteção contra vírus. Se você precisar fazer coisas assim, você deve usar o Windows em uma caixa virtual (com software atualizado e antivírus).
E quando você for infectado pelo vinho: isso afetará apenas os arquivos que são seus. Seu /home
. Então você corrige isso excluindo o sistema infectado e restaurando o backup que todos nós já fizemos. É isso do lado do Linux.
Ah, quando um usuário ‘não é tão esperto’ e usa sudo
vinho é problema do USUÁRIO. Não é vinho.
Na verdade: eu mesmo já sou contra usar vinho para qualquer coisa. Usar dual boot sem interação entre Linux e Windows ou usar uma caixa virtual com Windows atualizado e usar um antivírus é muito superior a qualquer coisa que o Wine pode oferecer.
Algumas das empresas afetadas por isso:
- Telefônica.
- Fedex.
- Serviços Nacionais de Saúde (Grã-Bretanha).
- Deutsche Bahn (ferrovia alemã).
- Q-park (Europa. Serviço de estacionamento).
- Renault.
Todos usaram sistemas Windows XP e Windows 7 sem correção. O pior foi o NHS. Eles usam Windows em hardware onde não podem atualizar os sistemas operacionais (...) e tiveram que pedir aos pacientes que parassem de ir aos hospitais e usassem o número de alarme geral.
Até o momento, nem uma única máquina usando Linux ou uma única máquina usando wine foi infectada. Isso poderia ser feito? Sim (nem mesmo "provavelmente"). Mas o impacto provavelmente seria de uma única máquina e não teria efeito cascata. Eles precisariam de nossa senha de administrador para isso. Portanto, “nós” temos pouco interesse para esses hackers.
Se há alguma coisa a aprender com isso... pare de usar o Windows para e-mail e atividades gerais da Internet em umempresaservidor. E não, os antivírus NÃO são a ferramenta correta para isso: as atualizações dos antivírus são criadas APÓS o vírus ser encontrado. Isso é tarde demais.
Sandbox Windows: não permite compartilhamentos. Atualize essas máquinas. -Compre- um novo sistema operacional quando a Microsoft lançar uma versão. Não use software pirata. Uma empresa que ainda usa o Windows XP está pedindo que isso aconteça.
Políticas da nossa empresa:
- Utilize Linux.
- Não use compartilhamentos.
- Use um cofre com senha e não salve senhas fora do cofre.
- Use correio on-line.
- Use armazenamento online para documentos.
- Use o Windows dentro do VirtualBox apenas para coisas que o Linux não pode fazer. Temos algumas VPNs que nossos clientes usam apenas para Windows. Você pode preparar um vbox e copiá-lo quando tiver todo o software necessário.
- Os sistemas Windows utilizados dentro da nossa empresa (notebooks pessoais, por exemplo) não são permitidos na rede da empresa.
Responder3
Este malware parece se espalhar em duas etapas:
Primeiro, por meio de bons e velhos anexos de e-mail: um usuário do Windows recebe um e-mail com um executável anexado e o executa. Nenhuma vulnerabilidade do Windows envolvida aqui; apenas a inépcia do usuário em executar um executável de uma fonte não confiável (e ignorar o aviso do software antivírus, se houver).
Em seguida, ele tenta infectar outros computadores da rede. É aí que entra a vulnerabilidade do Windows: se houver máquinas vulneráveis na rede, o malware pode usá-las para infectá-las.sem qualquer ação do usuário.
Em particular, para responder a esta pergunta:
Como não inicializei o Windows 8.1 há 6 a 8 semanas, posso aplicar esse patch do Ubuntu sem inicializar o Windows primeiro?
Você só pode ser infectado por esta vulnerabilidade se já houver uma máquina infectada em sua rede. Se não for esse o caso, é seguro inicializar um Windows vulnerável (e instalar a atualização imediatamente).
A propósito, isso também significa que usar máquinas virtuais não significa que você possa ser descuidado. Especialmente se estiver diretamente conectada à rede (rede em ponte), uma máquina virtual Windows se comporta como qualquer outra máquina Windows. Você pode não se importar muito se ele for infectado, mas também pode infectar outras máquinas Windows na rede.
Responder4
Com base no que todos já escreveram e falaram sobre esse assunto:
O ransomware WannaCrypt não está codificado para funcionar em outro sistema operacional que não seja o Windows (não incluindo o Windows 10) porque é baseado na exploração NSA Eternal Blue, que tira vantagem de uma violação de segurança do Windows.
Executar o Wine no Linux não é inseguro, mas você pode se infectar se usar este software para downloads, troca de e-mails e navegação na web. O Wine tem acesso a muitos dos caminhos da sua pasta /home, o que possibilita que esse malware criptografe seus dados e “infecte” você de alguma forma.
Resumindo: a menos que os cibercriminosos projetem intencionalmente o WannaCrypt para afetar sistemas operacionais baseados em Debian (ou outra distribuição Linux), você não deve se preocupar com esse assunto como usuário do Ubuntu, embora seja saudável manter-se atento aos ciberthreads.