Qual é o possível impacto do ransomware “Wanna Cry” nos usuários do Linux?

62

Acabamos de descobrir que há um resgate de US $ 300 que você precisa pagar porque o ransomware que visa o Microsoft Windows criptografou seus dados. Que passos os usuários do Linux precisam proteger contra isso se, por exemplo, estiverem usando vinho?

Este ransomware é amplamente divulgado como baseado em uma ferramenta desenvolvida pela NSA para invadir computadores. A ferramenta NSA foi usada por um grupo de hackers chamado Shadow Brokers . O código pode ser encontrado em Github .

A Microsoft lançou um patch ( MS17-010 ) contra essa vulnerabilidade em 14 de março de 2017. Segundo relatos, a infecção em massa começou a se espalhar em 14 de abril. Isso é discutido aqui .

Como eu ainda não inicializei o Windows 8.1 em 6 a 8 semanas, posso aplicar esse patch do Ubuntu sem inicializar o Windows primeiro? (Após a pesquisa, pode ser possível que o ClamAV possa relatar a vulnerabilidade do lado do Linux, olhando para a partição do Windows, mas é improvável que ele aplique o patch. O melhor método seria reinicializar o Windows e aplicar o patch MS17-010.)

Indivíduos e pequenas empresas que assinam as Atualizações Automáticas da Microsoft não estão infectados. Organizações maiores que atrasam a aplicação de patches à medida que são testadas contra intranets da organização têm maior probabilidade de serem infectadas.

Em 13 de maio de 2017, a Microsoft deu o passo extraordinário de lançar um patch para o Windows XP que não tem suporte há três anos.

Nenhuma palavra se o vinho estiver fazendo alguma coisa sobre uma atualização de segurança. Foi relatado em um comentário abaixo que o Linux pode ser infectado também quando os usuários executam vinho .

Um herói acidental" registrou um nome de domínio que funcionava como um interruptor de matar para o ransomware. Presumo que o domínio inexistente tenha sido usado pelos hackers em sua intranet privada para que eles não se infectem. Da próxima vez eles serão mais espertos, então não confie neste interruptor de kill atual. Instalar o patch da Microsoft, que impede a exploração de uma vulnerabilidade no protocolo SMBv1, é o melhor método.

Em 14 de maio de 2017, o Red Hat Linux disse que eles não são afetados pelo ransomware "Wanna Cry". Isso pode enganar os usuários do Ubuntu junto com usuários do Red Hat, CentOS, ArchLinux e Fedora. Red Hat suporta vinho que respostas abaixo confirmam pode ser efetuado. Em essência, o Ubuntu e outros usuários de distro Linux pesquisando esse problema podem ser enganados pela resposta do Suporte Red Hat Linux aqui .

Atualização de 15 de maio de 2017. Nas últimas 48 horas, a Microsoft lançou patches chamados KB4012598 para Windows 8, XP , Vista, Server 2008 e Server 2003 para proteger contra o ransomware "Wanna Cry". Essas versões do Windows não estão mais em atualizações automáticas. Embora eu tenha aplicado a atualização de segurança MS17-010 na minha plataforma Windows 8.1 ontem, meu antigo laptop Vista ainda precisa do patch KB4012598 baixado e aplicado manualmente.

  

Nota do moderador: Esta questão não está fora do tópico - ela pergunta se os usuários do Linux precisam ou não fazer alguma etapa para se proteger contra o risco.

     

Ele está perfeitamente no tópico aqui, porque é relevante para o Linux (que é o Ubuntu), e também é relevante para usuários do Ubuntu que executam o Wine ou camadas de compatibilidade semelhantes, ou mesmo VMs em suas máquinas Ubuntu Linux.

    
por WinEunuuchs2Unix 13.05.2017 / 01:57

4 respostas

56

Se isso ajudar e complementar a resposta de Rinzwind , primeiro as perguntas:

1. Como se espalha?

Por email. 2 amigos foram afetados por isso. Eles enviam o email para eu testar em um ambiente supervisionado, então você basicamente precisa abrir o email, baixar o anexo e executá-lo. Após a contaminação inicial, ele verificará sistematicamente a rede para ver quem mais pode ser afetado.

2. Posso ser afetado usando o Wine?

Resposta curta: sim. Como o Wine emula quase todos os comportamentos do ambiente Windows, o worm pode realmente tentar encontrar maneiras de afetá-lo. O pior cenário é que, dependendo do acesso direto que o vinho tem ao seu sistema Ubuntu, algumas ou todas as partes de sua casa serão afetadas (não testou totalmente isso. Veja resposta 4 abaixo), embora eu veja muitos obstáculos aqui para como o worm se comporta e como ele tentaria criptografar uma partição / arquivo não ntfs / fat e qual permissão não superadministrativa seria necessária para isso, mesmo vindo do Wine, então ele não tem poderes completos como no Windows. Em qualquer caso, é melhor jogar do lado seguro para isso.

3. Como posso testar o comportamento disso assim que recebo um email?

Meu teste inicial que envolveu 4 contêineres do VirtualBox na mesma rede terminou em 3 dias. Basicamente no dia 0, eu contaminei propositadamente o primeiro sistema Windows 10. Após 3 dias, todos os 4 foram afetados e criptografados com a mensagem "Whoops" sobre a criptografia. O Ubuntu, por outro lado, nunca foi afetado, mesmo depois de criar uma pasta compartilhada para todos os 4 convidados que estão no desktop do Ubuntu (Outside of Virtualbox). A pasta e os arquivos nela nunca foram afetados, então é por isso que tenho minhas dúvidas com o Wine e como isso pode se propagar nele.

4. Eu testei no Wine?

Infelizmente eu fiz (já tive um backup e movi arquivos de trabalho críticos da área de trabalho antes de fazer isso). Basicamente, minha área de trabalho e pasta de músicas estavam condenadas. No entanto, não afetou a pasta que eu tinha em outra unidade, talvez porque não foi montada no momento. Agora, antes de nos empolgarmos, eu precisava usar vinho como sudo para que isso funcionasse (eu nunca uso vinho com sudo). Então, no meu caso, mesmo com o sudo, apenas a área de trabalho e a pasta de músicas (para mim) foram afetadas.

Observe que o Wine tem um recurso de Integração de Área de Trabalho onde, mesmo se você alterar a unidade C: para algo dentro da pasta Wine (Em vez da unidade padrão c), ela ainda poderá acessar sua pasta Linux Home mapas para a sua pasta pessoal para documentos, vídeos, baixar, salvar arquivos do jogo, etc. Isso precisava ser explicado desde que eu enviei um vídeo sobre um usuário testando WCry e ele mudou o drive C para "drive_c" que está dentro do ~ pasta /.wine mas ele ainda foi afetado na pasta inicial.

Minha recomendação se você deseja evitar ou pelo menos diminuir o impacto em sua pasta pessoal ao testar com vinho é simplesmente desabilitar as seguintes pastas apontando-as para a mesma pasta personalizada dentro do ambiente do vinho ou para uma única pasta falsa em qualquer lugar mais.

Estou usando o Ubuntu 17.04 64-Bit, as partições são Ext4 e não tenho outras medidas de segurança além de simplesmente instalar o Ubuntu, formatar as unidades e atualizar o sistema todos os dias.

    
por Luis Alvarado 14.05.2017 / 03:17
25
  

Quais são as etapas que os usuários do Linux precisam proteger contra isso se, por exemplo, estiverem usando o wine?

Nada. Bem, talvez não seja nada além de nada extra. As regras normais se aplicam: faça backups regulares de seus dados pessoais. Teste também seus backups para que você saiba que pode restaurá-los quando necessário.

Coisas a serem observadas:

  1. O vinho não é o Windows. Não use vinho para:

    1. correios abertos,
    2. abrir links da caixa de depósito
    3. navegue na web.

      Esses 3 são o modo como isso parece se espalhar nas máquinas. Se você precisar fazer isso, use o VirtualBox com uma instalação normal.
  2. Ele também usa criptografia e criptografia no Linux é muito mais difícil do que no Windows. Se esse malware conseguir tocar em seu sistema Linux, na pior das hipóteses seus arquivos pessoais em $home estarão comprometidos. Então restaure um backup se isso acontecer.

  

Nenhuma palavra se o vinho estiver fazendo alguma coisa sobre uma atualização de segurança.

Não é um problema de vinho. "Corrigir" significa que você precisa usar componentes do Windows que tenham essa correção. Ou use um antivírus em vinho que possa encontrar esse malware. Vinho em si não pode fornecer qualquer forma de correção.

Mais uma vez: mesmo que o vinho possa ser usado como vetor de ataque, você ainda precisa fazer coisas como um usuário que não deveria estar fazendo do vinho para ser infectado: você precisa usar vinho para abrir um site malicioso. enviar. Você já deve nunca fazer isso, já que o vinho não vem com nenhuma forma de proteção contra vírus. Se você precisa fazer coisas assim, você deve usar o Windows em uma caixa virtual (com software atualizado e scanner de vírus).

E quando você for infectado pelo vinho: afetará apenas os arquivos que são seus. Seu código%. Então você conserta isso excluindo o sistema infectado e restaurando o backup que todos nós já fazemos. É isso do lado do Linux.

Ah, quando um usuário não é 'tão inteligente' e usa /home com vinho, é o problema do USUÁRIO. Não vinho.

Se qualquer coisa: eu já sou contra o uso de vinho para qualquer coisa. Usar um dual boot sem interação entre linux e windows ou usar uma virtualbox com um Windows atualizado e usar um antivírus é muito superior a qualquer coisa que o wine possa oferecer.

Algumas das empresas afetadas por isso:

  • Telefonia.
  • Fedex.
  • Serviços Nacionais de Saúde (Grã-Bretanha).
  • Deutsche Bahn (estrada de ferro alemã).
  • Q-park (Europa. Serviço de estacionamento).
  • Renault.

Todos utilizaram sistemas Windows XP e Windows 7 sem patches. Baddest foi o NHS. Eles usam o Windows em hardware onde eles não podem atualizar os sistemas operacionais (...) e tiveram que pedir aos pacientes que parassem de vir aos hospitais e usassem o número geral do alarme.

Até o momento, nem uma única máquina usando Linux ou uma única máquina usando vinho foi infectada. Poderia ser feito? Sim (nem mesmo "provavelmente"). Mas o impacto provavelmente seria uma única máquina e não teria efeito cascata. Eles precisariam da nossa senha de administrador para isso. Então, "nós" somos de pouco interesse para esses hackers.

Se houver algo a aprender com isso ... pare de usar o Windows para atividades de e-mail e da Internet em geral em um servidor empresa . E não, scanners de vírus não são a ferramenta correta para isso: atualizações para virusscanners são criados após o vírus ser encontrado. Isso é tarde demais.

Sandbox Windows: não permite compartilhamentos. Atualize essas máquinas. -Comprar- um novo sistema operacional quando a Microsoft enlata uma versão. Não use software pirata. Uma empresa que ainda usa o Windows XP está pedindo para que isso aconteça.

Nossas políticas da empresa:

  • Use o Linux.
  • Não use compartilhamentos.
  • Use uma senha segura e não salve senhas fora do cofre.
  • Use o correio on-line.
  • Use armazenamento on-line para documentos.
  • Use apenas o Windows dentro do VirtualBox para coisas que o Linux não pode fazer. Temos algumas VPNs que nossos clientes usam apenas o Windows. Você pode preparar um vbox e copiá-lo quando tiver todo o software necessário.
  • Os sistemas Windows usados em nossa empresa (notebooks pessoais, por exemplo) não são permitidos na rede da empresa.
por Rinzwind 13.05.2017 / 09:39
14

Este malware parece se espalhar em duas etapas:

  • Primeiro, por meio de anexos de e-mail bons: um usuário do Windows recebe um e-mail com um executável anexado e o executa. Nenhuma vulnerabilidade do Windows envolvida aqui; apenas inépcia do usuário ao executar um executável a partir de uma fonte não confiável (e ignorar o aviso de seu software antivírus, se houver).

  • Em seguida, ele tenta infectar outros computadores na rede. É aí que entra em jogo a vulnerabilidade do Windows: se houver máquinas vulneráveis na rede, o malware poderá usá-lo para infectá-las sem ação do usuário .

Em particular, para responder a esta pergunta:

  

Como não iniciei o Windows 8.1 em 6 a 8 semanas, posso aplicar este patch   do Ubuntu sem inicializar o Windows primeiro?

Você só pode se infectar com essa vulnerabilidade se já houver uma máquina infectada em sua rede. Se não for esse o caso, é seguro inicializar um Windows vulnerável (e instalar a atualização imediatamente).

Isso também significa, a propósito, que usar máquinas virtuais não significa que você pode ser descuidado. Especialmente se estiver diretamente conectado à rede (rede interligada), uma máquina virtual do Windows se comporta como qualquer outra máquina Windows. Você pode não se importar muito se for infectado, mas também pode infectar outras máquinas Windows na rede.

    
por fkraiem 13.05.2017 / 13:05
0

Com base no que todos já escreveram e falaram sobre esse assunto:

O WannaCrypt ransomware não está codificado para funcionar em outro SO que não seja o Windows (sem incluir o Windows 10) porque é baseado na exploração NSA Eternal Blue, que aproveita uma violação de segurança do Windows.

A execução do Wine no Linux não é insegura, mas você pode se infectar se usar este software para downloads, troca de e-mails e navegação na web. O Wine tem acesso a muitos dos seus caminhos de pasta / home, o que possibilita que esse malware criptografe seus dados e "infecte" você de alguma forma.

Resumidamente falando: A menos que os criminosos cibernéticos projetem intencionalmente o WannaCrypt para afetar os sistemas operacionais baseados no Debian (ou em outras distribuições Linux), você não deve se preocupar com esse assunto como um usuário do Ubuntu, embora seja saudável manter-se atento aos ataques cibernéticos.

    
por Dorian 21.05.2017 / 02:04