Qual è il possibile impatto del ransomware "Wanna Cry" sugli utenti Linux?

62

È appena venuto alla luce che c'è un riscatto da 300 $ che devi pagare perché il ransomware che ha come target Microsoft Windows ha crittografato i tuoi dati. Quali passi devono fare gli utenti Linux per proteggersi da questo se ad esempio stanno usando wine?

Questo ransomware è ampiamente riportato come basato su uno strumento sviluppato dalla NSA per hackerare nei computer. Lo strumento NSA è stato utilizzato da un gruppo di hacker chiamato Shadow Broker . Il codice può essere trovato in Github .

Microsoft ha rilasciato una patch ( MS17-010 ) contro questa vulnerabilità il 14 marzo 2017. Si dice che l'infezione di massa abbia iniziato a diffondersi il 14 aprile. Questo è discusso qui .

Poiché non ho avviato Windows 8.1 tra 6 e 8 settimane, posso applicare questa patch da Ubuntu senza avviare prima Windows? (Dopo la ricerca potrebbe essere possibile ClamAV potrebbe segnalare la vulnerabilità da parte di Linux guardando nella partizione di Windows ma è improbabile che possa applicare la patch. Il metodo migliore sarebbe riavviare Windows e applicare la patch MS17-010.)

Gli individui e le piccole aziende che si abbonano agli aggiornamenti automatici di Microsoft non sono infetti. Le organizzazioni più grandi che ritardano l'applicazione di patch mentre vengono testate contro le intranet dell'organizzazione hanno maggiori probabilità di essere infette.

Il 13 maggio 2017, Microsoft ha compiuto il passo straordinario del rilascio di una patch per Windows XP che non è stata supportata da 3 anni.

Nessuna parola se il vino sta facendo qualcosa per un aggiornamento della sicurezza. È stato riportato in un commento qui sotto che Linux può essere infettato anche quando gli utenti eseguono vino .

An " hero accidentale " ha registrato un nome di dominio che fungeva da kill-switch per il ransomware. Presumo che il dominio inesistente sia stato usato dagli hacker nella loro intranet privata in modo da non infettarsi. La prossima volta saranno più intelligenti quindi non fare affidamento su questo attuale kill-switch. Installare la patch Microsoft, che impedisce di sfruttare una vulnerabilità nel protocollo SMBv1, è il metodo migliore.

Il 14 maggio 2017 Red Hat Linux ha dichiarato di non essere interessati dal ransomware "Wanna Cry". Ciò potrebbe ingannare gli utenti di Ubuntu insieme agli utenti di Red Hat, CentOS, ArchLinux e Fedora. Red Hat supporta il vino che risponde sotto può confermare. Essenzialmente Ubuntu e altri utenti di distro Linux che cercano su google questo problema potrebbero trarre in inganno la risposta del supporto di Red Hat Linux qui .

Aggiornamento del 15 maggio 2017. Nelle ultime 48 ore Microsoft ha rilasciato patch chiamate KB4012598 per Windows 8, XP , Vista, Server 2008 e Server 2003 per la protezione contro il ransomware "Wanna Cry". Queste versioni di Windows non sono più su aggiornamenti automatici. Anche se ieri ho applicato l'aggiornamento di sicurezza MS17-010 sulla mia piattaforma Windows 8.1, il mio vecchio computer portatile Vista ha ancora bisogno della patch KB4012598 scaricata e applicata manualmente.

  

Nota del moderatore: questa domanda non è fuori tema, ma chiede se gli utenti Linux debbano o meno eseguire qualsiasi procedura per la protezione dal rischio.

     

È perfettamente in discussione qui, perché è rilevante per Linux (che è Ubuntu), ed è anche rilevante per gli utenti di Ubuntu che eseguono Wine o simili livelli di compatibilità, o anche VM sulle loro macchine Ubuntu Linux.

    
posta WinEunuuchs2Unix 13.05.2017 - 01:57

4 risposte

56

Se è utile e complementare alla risposta di Rinzwind , prima le domande:

1. Come si diffonde?

Via email. 2 amici ne sono stati influenzati. Mi mandano l'e-mail da testare in un ambiente supervisionato, quindi bastermente devi aprire l'e-mail, scaricare l'allegato ed eseguirlo. Dopo la contaminazione iniziale, controllerà sistematicamente la rete per vedere chi altri può essere interessato.

2. Posso essere interessato utilizzando Wine?

Risposta breve: sì. Dal momento che Wine emula quasi ogni comportamento dell'ambiente Windows, il worm può effettivamente cercare di scoprire come influire su di te. Lo scenario peggiore è che, a seconda del vino di accesso diretto al tuo sistema Ubuntu, alcune o tutte le parti della tua casa saranno interessate (non testate completamente questo. Vedere la risposta 4 di seguito), anche se qui vedo molti blocchi stradali come si comporta il worm e come tenterebbe di crittografare una partizione / file non ntfs / fat e quale autorizzazione non super-amministratore dovrebbe farlo, anche se provenendo da Wine, quindi non ha pieni poteri come su Windows. In ogni caso, è meglio giocare sul sicuro per questo.

3. Come posso testare il comportamento di questo quando ricevo un'email che lo ha?

Il mio test iniziale che ha coinvolto 4 contenitori VirtualBox sulla stessa rete è terminato in 3 giorni. Fondamentalmente il giorno 0, ho contaminato di proposito il primo sistema Windows 10. Dopo 3 giorni, tutti e 4 sono stati interessati e crittografati con il messaggio "Whoops" sulla crittografia. Ubuntu d'altra parte non è mai stato influenzato, anche dopo aver creato una cartella condivisa per tutti e 4 gli ospiti sul desktop di Ubuntu (Outside of Virtualbox). La cartella e i file in essa contenuti non sono mai stati influenzati, ecco perché ho dei dubbi con Wine e su come questo può propagarsi su di esso.

4. L'ho provato su Wine?

Purtroppo ho fatto (avevo già un backup e ho spostato i file di lavoro critici dal desktop prima di farlo). Fondamentalmente, il mio desktop e la mia cartella musicale erano condannati. Tuttavia, non ha influito sulla cartella che avevo in un'altra unità, forse perché non era montata in quel momento. Ora, prima che diventassimo portati via, avevo bisogno di mandare vino come sudo perché funzionasse (non ho mai dato vino con sudo). Quindi nel mio caso, anche con sudo, è stato interessato solo il desktop e la cartella musicale (per me).

Si noti che Wine ha una funzionalità di integrazione del desktop in cui, anche se si cambia l'unità C: su qualcosa all'interno della cartella Wine (anziché l'unità predefinita c), sarà comunque in grado di raggiungere la cartella Home di Linux poiché esegue il mapping alla cartella home per documenti, video, download, salvataggio di file di gioco, ecc. Ciò ha dovuto essere spiegato poiché sono stato inviato un video su un utente che sta testando WCry e ha cambiato il C Drive in "drive_c" che si trova all'interno del ~ /.wine folder ma è stato comunque colpito nella cartella home.

La mia raccomandazione se si desidera evitare o almeno ridurre l'impatto sulla cartella home durante il test con wine è semplicemente disabilitare le seguenti cartelle indirizzandole alla stessa cartella personalizzata all'interno dell'ambiente vinicolo o ad un'unica cartella finta ovunque il resto.

Sto usando Ubuntu 17.04 64-Bit, le partizioni sono Ext4 e non ho altre misure di sicurezza oltre alla semplice installazione di Ubuntu, alla formattazione delle unità e all'aggiornamento del sistema ogni giorno.

    
risposta data Luis Alvarado 14.05.2017 - 03:17
25
  

Quali passi devono essere protetti dagli utenti Linux se ad esempio utilizzano vino?

Niente. Beh forse non altro ma niente di extra. Si applicano le normali regole: effettuare backup regolari dei dati personali. Prova anche i tuoi backup in modo da sapere che puoi ripristinarli quando necessario.

Cose da notare:

  1. Wine non è Windows. Non usare vino per:

    1. apri posta,
    2. apri link a Dropbox
    3. naviga sul Web.
      Quelli 3 sono il modo in cui questo sembra diffondersi sulle macchine. Se è necessario, utilizzare virtualbox con un'installazione normale.
  2. Utilizza anche la crittografia e la crittografia in Linux è molto più difficile rispetto a Windows. Se questo malware sarebbe in grado di toccare il tuo sistema Linux, nel peggiore dei casi i tuoi file personali nella tua $home sono compromessi. Quindi, ripristina un backup se ciò dovesse accadere.

  

Nessuna parola se il vino sta facendo qualcosa per un aggiornamento della sicurezza.

Non è un problema con il vino. "Correggere" questo significherebbe che è necessario utilizzare i componenti di Windows che hanno risolto questo problema. O utilizzare uno scanner di virus nel vino che può trovare questo malware. Il vino stesso non può fornire alcuna forma di correzione.

Anche in questo caso, anche se il vino può essere utilizzato come vettore di attacco, devi comunque fare le cose come un utente che non dovresti fare da wine per essere infettato: devi usare wine per aprire un sito malevolo, link dannoso in un la posta. Dovresti già mai farlo dal momento che il vino non ha alcuna forma di protezione da virus. Se devi fare cose del genere dovresti usare Windows in una virtualbox (con software aggiornato e scanner antivirus).

E quando vieni contagiato per il vino: interesserà solo i file che sono tuoi. Il tuo codice%. Così lo risolvi eliminando il sistema infetto e ripristinando il backup che tutti già facciamo. Questo è tutto da Linux.

Oh, quando un utente non è così intelligente e usa /home con wine, è il problema dell'UTENTE. Non vino.

Semmai: io stesso sono già contrario all'uso del vino per qualsiasi cosa. L'utilizzo di un dual boot senza interazione tra linux e windows o l'utilizzo di una virtualbox con una versione aggiornata di Windows e l'utilizzo di uno scanner antivirus è di gran lunga superiore a qualsiasi cosa il vino possa offrire.

Alcune delle aziende interessate da questo:

  • Telephonica.
  • Fedex.
  • Servizi sanitari nazionali (Gran Bretagna).
  • Deutsche Bahn (Ferrovia Tedesca).
  • Q-park (servizio di parcheggio in Europa).
  • Renault.

Tutti usati sistemi Windows XP e Windows 7 senza patch. Il più cattivo era il NHS. Usano Windows su hardware dove non possono aggiornare i sistemi operativi (...) e hanno dovuto chiedere ai pazienti di smettere di venire negli ospedali e usare invece il numero di allarme generale.

A tutt'oggi non è stata infettata una sola macchina che utilizza Linux o una singola macchina che utilizza vino. Potrebbe essere fatto? Sì (nemmeno "probabilmente"). Ma l'impatto sarebbe probabilmente una singola macchina e non ha un effetto a cascata. Avrebbero bisogno della nostra password di amministratore per quello. Quindi "noi" siamo di scarso interesse per quegli hacker.

Se qualcosa da imparare da questo ... smettere di usare Windows per la posta e le attività generali su un server dell'azienda . E no, gli scanner antivirus NON sono lo strumento giusto per questo: gli aggiornamenti per i virusscanner vengono creati DOPO che il virus è stato trovato. È troppo tardi

Sandbox Windows: non consentire le condivisioni. Aggiorna quelle macchine. -Acquista- un nuovo sistema operativo quando Microsoft può una versione. Non usare software piratato. Una società che utilizza ancora Windows XP sta chiedendo che ciò accada.

Le nostre politiche aziendali:

  • Usa Linux.
  • Non utilizzare le condivisioni.
  • Utilizzare una password sicura e non salvare le password al di fuori della cassaforte.
  • Utilizza la posta online.
  • Utilizza la memoria online per i documenti.
  • Usa Windows all'interno di virtualbox solo per cose che Linux non può fare. Abbiamo alcune VPN che i nostri clienti usano solo per Windows. Puoi preparare una vbox e copiarla quando hai tutto il software che ti serve.
  • I sistemi Windows utilizzati all'interno della nostra azienda (ad esempio, i taccuini personali) non sono consentiti sulla rete aziendale.
risposta data Rinzwind 13.05.2017 - 09:39
14

Questo malware sembra diffondersi in due passaggi:

  • Innanzitutto, tramite buoni allegati di posta elettronica: un utente di Windows riceve un'e-mail con un file eseguibile collegato e lo esegue. Nessuna vulnerabilità di Windows coinvolta qui; solo inettitudine dell'utente nell'eseguire un eseguibile da una fonte non attendibile (e ignorando l'avviso dal proprio software antivirus, se presente).

  • Quindi tenta di infettare altri computer sulla rete. È qui che entra in gioco la vulnerabilità di Windows: se ci sono macchine vulnerabili sulla rete, il malware può usarle per infettarle senza alcuna azione dell'utente .

In particolare, per rispondere a questa domanda:

  

Come non ho avviato Windows 8.1 tra 6 e 8 settimane posso applicare questa patch   da Ubuntu senza aver prima avviato Windows?

Puoi essere infettato solo da questa vulnerabilità se c'è già una macchina infetta nella tua rete. In caso contrario, è possibile avviare un Windows vulnerabile (e installare subito l'aggiornamento).

Questo significa anche che l'utilizzo di macchine virtuali non significa che si possa essere negligenti. Soprattutto se è collegato direttamente alla rete (collegamento in rete), una macchina virtuale Windows si comporta come qualsiasi altra macchina Windows. Potrebbe non interessarti molto se viene infettato, ma può anche infettare altre macchine Windows sulla rete.

    
risposta data fkraiem 13.05.2017 - 13:05
0

In base a ciò che tutti hanno scritto e parlato su questo argomento:

WannaCrypt ransomware non è codificato per funzionare su altri sistemi operativi rispetto a Windows (escluso Windows 10) perché è basato sull'uso di Eternal Blue di NSA, che sfrutta una violazione della sicurezza di Windows.

L'esecuzione di Wine su Linux non è pericolosa, ma puoi infettare te stesso se utilizzi questo software per download, scambio di e-mail e navigazione sul Web. Wine ha accesso a molti dei percorsi delle cartelle / home, il che rende possibile che questo malware crittografi i tuoi dati e "infetti" in qualche modo.

In breve: A meno che i criminali informatici non progettino intenzionalmente WannaCrypt di influenzare i sistemi operativi basati su Debian (o altri distro Linux) non dovresti preoccuparti di questo argomento come utente di Ubuntu, anche se è salutare tenerti informato sui thread informatici.

    
risposta data Dorian 21.05.2017 - 02:04

Leggi altre domande sui tag