Como o vírus Petya Ransomware pode afetar os usuários do Linux?

4

Nas últimas 48 horas fomos informados do ransomware Petya semelhante ao " Quer Chorar " ransomware. Ambos os pacotes de ransomware criptografam seus dados e exigem US $ 300 para desbloquear seus dados. No entanto, no caso Petya, a Alemanha fechou o endereço de e-mail para responder, então você não pode pagar, mesmo se você quisesse.

Ao contrário de "Wanna Cry", que tinha um kill-switch global ativado em 72 horas por acidente, "Petya" exige que você crie um arquivo local para impedir que seus dados sejam criptografados, mas você ainda está infectado e pode passar o ransomware para outros sistemas.

Eu li na história O ransomware 'Petya' pode ser uma cortina de fumaça para ataques potencialmente maiores você precisa criar o arquivo C:\Windows\perfc e sinalizá-lo como somente leitura para proteger seu sistema. Isso incluiria usuários do Linux usando wine presumo. No entanto:

Alguém pode confirmar que os usuários do Linux Wine são vítimas em potencial e qual deve ser o nome real do arquivo somente para leitura?

    
por WinEunuuchs2Unix 29.06.2017 / 01:09

1 resposta

4

Eu corri ...
Como prometi, instalei o wine em uma máquina virtual da Debian, peguei uma amostra do Petya, rodei-os diretamente e usei: rundll32 path,#1 , com usuário regular e root e nada aconteceu com minha VM ou seu MBR.

Como se propagam?
Petya usa o exploit Eternal Blue e técnicas clássicas de espalhamento de redes SMB.

O CVE relacionado desta vulnerabilidade para o Linux é: "CVE-2017-7494" que já foi corrigido:

Meu Ubuntu é vulnerável ao SambaCry?

perfc e perfc.dat:
Symantec afirma que Petya cria um arquivo "C: \ Windows \ perfc" para indicar que o computador foi infectado e o "perfc.dat" é o que ele usa para se auto-executar.

Para parar o petya, você deve criar um arquivo somente leitura aqui: "C: \ Windows \ perfc.dat", então o petya não pode escrever e executar sozinho.

E "C: \ Windows \ perfc" é um tipo de interruptor de matar se "Petya" for executado, depois de ver este arquivo ele considera seu computador como infectado e só tenta infectar outros dispositivos de rede.

Criptografia e MBR :
Após a infecção, tenta mudar o MBR. um MBR tem três seções: tabela de partição, código de inicialização, código mágico. alterando o código de boot, ele pode seqüestrar o processo de boot, então ao invés de carregar um bootloader você verá uma mensagem e por trás dessa mensagem ele irá iniciar uma criptografia completa do disco, antes da mensagem final um disco falso.

Com "wine" ele não pode mudar seu MBR (a menos que você execute o vinho usando sudo), ele apenas tenta infectar outros dispositivos.

Ele também faz uma criptografia de modulação do usuário, para o efeito, após a infecção, procura extensões específicas em todas as unidades e começa a criptografar os primeiros 1 MB delas.

Então parece que não há nada para se preocupar a menos que você o use usando o acesso root e wine.

fonte: symantec .

    
por Ravexina 29.06.2017 / 11:47