1. Как распространяется?

1. Как распространяется?

Только что выяснилось, что вам придется заплатить выкуп в размере 300 долларов, поскольку программа-вымогатель, нацеленная на Microsoft Windows, зашифровала ваши данные. Какие шаги должны предпринять пользователи Linux, чтобы защититься от этого, если, например, они используют Wine?

Широко сообщается, что этот вирус-вымогатель основан на инструменте, разработанном АНБ для взлома компьютеров. Инструмент АНБ использовался хакерской группой под названиемТеневые брокеры. Код можно найти вГитхаб.

Microsoft выпустила патч (МС17-010) против этой уязвимости 14 марта 2017 года. Сообщается, что массовое заражение началось 14 апреля. Это обсуждаетсяздесь.

Поскольку я не загружал Windows 8.1 в течение 6–8 недель, могу ли я применить этот патч из Ubuntu без предварительной загрузки Windows? (После исследования выяснилось, что ClamAV может сообщить об уязвимости со стороны Linux, просматривая раздел Windows, но маловероятно, что он сможет применить патч. Лучшим методом будет перезагрузка в Windows и применение патча MS17-010.)

Отдельные лица и небольшие компании, которые подписаны на автоматические обновления Microsoft, не заражены. Более крупные организации, которые откладывают применение исправлений, пока они тестируются на корпоративных интрасетях, с большей вероятностью будут заражены.

13 мая 2017 года компания Microsoft пошла на чрезвычайный шаг, выпустив исправление для Windows XP, поддержка которой не осуществлялась в течение 3 лет.

Ни слова о том, делает ли Wine что-либо для обновления безопасности. В комментарии ниже сообщалось, что Linux также может быть заражен, когда пользователи запускаютвино.

Ан"случайный герой"зарегистрировал доменное имя, которое действовало как аварийный выключатель для программы-вымогателя. Я предполагаю, что несуществующий домен использовался хакерами в их частной интрасети, чтобы они не заразили себя. В следующий раз они будут умнее, так что не полагайтесь на этот текущий аварийный выключатель. Установка исправления Microsoft, которое предотвращает использование уязвимости в протоколе SMBv1, является лучшим методом.

14 мая 2017 года Red Hat Linux заявили, что они не затронуты вирусом-вымогателем "Wanna Cry". Это может ввести в заблуждение пользователей Ubuntu, а также пользователей Red Hat, CentOS, ArchLinux и Fedora. Red Hat поддерживает wine, ответы ниже подтверждают, что это может быть затронуто. По сути, пользователи Ubuntu и других дистрибутивов Linux, гуглящие эту проблему, могут быть введены в заблуждение ответом службы поддержки Red Hat Linuxздесь.

Обновление от 15 мая 2017 г. За последние 48 часов Microsoft выпустила исправления под названиемКБ4012598дляWindows 8, XP, Vista, Server 2008 и Server 2003для защиты от вируса-вымогателя "Wanna Cry". Эти версии Windows больше не обновляются автоматически. Хотя вчера я применил обновление безопасности MS17-010 на своей платформе Windows 8.1, моему старому ноутбуку Vista все еще нужно загрузить и вручную применить исправление KB4012598.


Примечание модератора:Этот вопрос не выходит за рамки темы — он касается того, нужно ли пользователям Linux предпринимать какие-либо шаги для защиты от риска.

Здесь это как раз по теме, поскольку актуально для Linux (которым является Ubuntu), а также для пользователей Ubuntu, использующих Wine или аналогичные среды совместимости, или даже виртуальные машины на своих машинах с Ubuntu Linux.

решение1

Если это поможет и дополнитОтвет Ринзвинда, сначала вопросы:

1. Как распространяется?

По электронной почте. Двое друзей пострадали от этого. Они отправили мне письмо для тестирования в контролируемой среде, так что вам, по сути, нужно будет открыть письмо, загрузить вложение и запустить его. После первоначального заражения он будет систематически проверять сеть, чтобы увидеть, кто еще может быть затронут.

2. Могу ли я пострадать от использования Wine?

Короткий ответ: Да. Поскольку Wine эмулирует почти все поведение среды Windows, червь может попытаться найти способы, как он может повлиять на вас. В худшем случае, в зависимости от прямого доступа Wine к вашей системе Ubuntu, некоторые или все части вашего дома будут затронуты (не полностью проверял это. См. ответ 4 ниже), хотя я вижу здесь много препятствий для того, как ведет себя червь и как он попытается зашифровать не ntfs/fat раздел/файлы и какие не суперадминистративные разрешения ему понадобятся для этого, даже исходя из Wine, так что у него нет полных полномочий, как в Windows. В любом случае, лучше перестраховаться.

3. Как я могу проверить поведение этой функции, получив электронное письмо с ней?

Мой первоначальный тест, в котором участвовали 4 контейнера VirtualBox в одной сети, закончился через 3 дня. По сути, в нулевой день я намеренно заразил первую систему Windows 10. Через 3 дня все 4 были затронуты и зашифрованы с сообщением «Упс» о шифровании. Ubuntu, с другой стороны, никогда не был затронут, даже после создания общей папки для всех 4 гостей, которая находится на рабочем столе Ubuntu (вне Virtualbox). Папка и файлы в ней никогда не были затронуты, поэтому у меня есть сомнения относительно Wine и того, как это может распространяться на него.

4. Тестировал ли я это на Wine?

К сожалению, я это сделал (уже сделал резервную копию и переместил критические файлы заданий с рабочего стола перед этим). По сути, мой рабочий стол и папка с музыкой были обречены. Однако это не повлияло на папку, которая была у меня на другом диске, возможно, потому что она не была смонтирована в то время. Теперь, прежде чем мы увлекемся, мне нужно было запустить wine как sudo, чтобы это сработало (я никогда не запускаю wine с sudo). Так что в моем случае, даже с sudo, были затронуты только рабочий стол и папка с музыкой (для меня).

Обратите внимание, что Wine имеет функцию интеграции с рабочим столом, благодаря которой даже если вы измените диск C: на что-то внутри папки Wine (вместо диска c по умолчанию), он все равно сможет получить доступ к вашей домашней папке Linux, поскольку она отображается в вашей домашней папке для документов, видео, загрузок, сохранения игровых файлов и т. д. Это нужно было объяснить, поскольку мне прислали видео о пользователе, тестирующем WCry, и он изменил диск C на «drive_c», который находится внутри папки ~/.wine, но домашняя папка все равно пострадала.

Если вы хотите избежать или, по крайней мере, снизить влияние на домашнюю папку при тестировании с помощью Wine, я рекомендую вам просто отключить следующие папки, указав для них ту же пользовательскую папку внутри среды Wine или одну поддельную папку в другом месте.

введите описание изображения здесь

Я использую Ubuntu 17.04 64-Bit, разделы — Ext4, и у меня нет других мер безопасности, кроме простой установки Ubuntu, форматирования дисков и ежедневного обновления системы.

решение2

Какие шаги необходимо предпринять пользователям Linux, чтобы защитить себя от этого, если, например, они используют Wine?

Ничего. Ну, может быть, не ничего, но ничего лишнего. Применяются обычные правила: регулярно делайте резервные копии своих персональных данных. Также проверяйте свои резервные копии, чтобы знать, что сможете восстановить их при необходимости.

На что следует обратить внимание:

  1. Wine — это не Windows. Не используйте Wine для:

    1. открытые письма,
    2. открыть ссылки dropbox
    3. просматривайте веб-страницы.

      Эти 3 способа, которыми это, по-видимому, распространяется на машины. Если вам это нужно, используйте virtualbox с обычной установкой.
  2. Он также использует шифрование, а шифрование в Linux намного сложнее, чем в Windows. Если эта вредоносная программа сможет проникнуть в вашу систему Linux, в худшем случае ваши личные файлы $homeбудут скомпрометированы. Так что просто восстановите резервную копию, если это когда-нибудь произойдет.


Нет информации о том, собирается ли Wine что-либо делать с обновлением безопасности.

Это не проблема Wine. "Исправление" этого будет означать, что вам нужно использовать компоненты Windows, в которых это исправлено. Или использовать антивирусный сканер в Wine, который может обнаружить это вредоносное ПО. Сам Wine не может предоставить никакой формы исправления.

Опять же: даже если Wine можно использовать в качестве вектора атаки, вам все равно нужно сделать что-то, что вы не должны делать из Wine, чтобы заразиться: вам нужно использовать Wine, чтобы открыть вредоносный веб-сайт, вредоносную ссылку в письме. Вы уже должныникогдасделайте это, так как в Wine нет никакой защиты от вирусов. Если вам нужно делать такие вещи, вам следует использовать Windows в VirtualBox (с обновленным ПО и антивирусным сканером).

И когда вы заразитесь через Wine: это повлияет только на ваши файлы. Ваш /home. Так что вы исправляете это, удаляя зараженную систему и восстанавливая резервную копию, которую мы все уже сделали. Это все со стороны Linux.

О, когда пользователь «не такой умный» и использует sudoWine, это проблема ПОЛЬЗОВАТЕЛЯ. А не Wine.

Если что: я сам уже против использования Wine для чего бы то ни было. Использование двойной загрузки без взаимодействия между Linux и Windows или использование VirtualBox с обновленной Windows и антивирусного сканера намного превосходит все, что может предложить Wine.


Некоторые из пострадавших компаний:

  • Телефоника.
  • Федекс.
  • Национальная служба здравоохранения (Великобритания).
  • Deutsche Bahn (Немецкие железные дороги).
  • Q-park (Европа. Парковочный сервис).
  • Рено.

Все использовали непатченные системы Windows XP и Windows 7. Хуже всего было в NHS. Они используют Windows на оборудовании, где не могут обновлять операционные системы (...) и вынуждены были просить пациентов прекратить посещать больницы и вместо этого использовать общий номер тревоги.

Пока ни одна машина с Linux или с Wine не была заражена. Можно ли это сделать? Да (даже не «вероятно»). Но воздействие, скорее всего, будет направлено на одну машину и не будет иметь каскадного эффекта. Для этого им понадобится наш пароль администратора. Так что «мы» малоинтересны для этих хакеров.

Если из этого можно что-то извлечь... прекратите использовать Windows для почты и общих действий в Интернете накомпаниясервер. И нет, антивирусные сканеры — НЕ правильный инструмент для этого: обновления для антивирусных сканеров создаются ПОСЛЕ того, как вирус обнаружен. Это слишком поздно.

Песочница Windows: не разрешайте общие доступы. Обновите эти машины. -Купите- новую операционную систему, когда Microsoft выпустит версию. Не используйте пиратское ПО. Компания, все еще использующая Windows XP, просит сделать это.


Политика нашей компании:

  • Используйте Linux.
  • Не используйте акции.
  • Используйте сейф с паролем и не храните пароли вне сейфа.
  • Используйте электронную почту.
  • Используйте онлайн-хранилище для документов.
  • Используйте Windows только внутри virtualbox для вещей, которые Linux не может сделать. У нас есть некоторые VPN, которые используют наши клиенты, и которые работают только с Windows. Вы можете подготовить vbox и скопировать его, когда у вас будет все необходимое программное обеспечение.
  • Системы Windows, используемые внутри нашей компании (например, личные ноутбуки), не допускаются в корпоративную сеть.

решение3

Похоже, что это вредоносное ПО распространяется в два этапа:

  • Во-первых, через старые добрые вложения электронной почты: пользователь Windows получает электронное письмо с прикрепленным исполняемым файлом и запускает его. Здесь нет никакой уязвимости Windows; просто пользователь проявил некомпетентность в запуске исполняемого файла из ненадежного источника (и проигнорировал предупреждение от своего антивирусного ПО, если таковое имеется).

  • Затем он пытается заразить другие компьютеры в сети. Вот где уязвимость Windows вступает в игру: если в сети есть уязвимые машины, то вредоносная программа может использовать ее для их заражениябез каких-либо действий пользователя.

В частности, чтобы ответить на этот вопрос:

Поскольку я не загружал Windows 8.1 в течение 6–8 недель, могу ли я применить этот патч из Ubuntu без предварительной загрузки Windows?

Вы можете заразиться через эту уязвимость, только если в вашей сети уже есть зараженная машина. Если это не так, можно безопасно загрузить уязвимую Windows (и сразу же установить обновление).

Это также означает, кстати, что использование виртуальных машин не означает, что вы можете быть беспечны. Особенно если она напрямую подключена к сети (мостовая сеть), виртуальная машина Windows ведет себя как любая другая машина Windows. Вас может не сильно волновать, если она заразится, но она также может заразить другие машины Windows в сети.

решение4

Исходя из того, что уже все писали и говорили по этой теме:

Программа-вымогатель WannaCrypt не предназначена для работы на других ОС, кроме Windows (за исключением Windows 10), поскольку она основана на эксплойте NSA Eternal Blue, который использует уязвимость системы безопасности Windows.

Запуск Wine под Linux не является небезопасным, но вы можете заразить себя, если используете это программное обеспечение для загрузок, обмена электронной почтой и просмотра веб-страниц. Wine имеет доступ ко многим путям вашей папки /home, что позволяет этому вредоносному ПО шифровать ваши данные и «заразить» вас каким-либо образом.

Вкратце: если только киберпреступники намеренно не разработали WannaCrypt для воздействия на операционные системы на базе Debian (или другого дистрибутива Linux), вам как пользователю Ubuntu не стоит беспокоиться по этому поводу, хотя быть в курсе киберпреступлений полезно.

Связанный контент