È appena emerso che c'è un riscatto di $ 300 che devi pagare perché il ransomware destinato a Microsoft Windows ha crittografato i tuoi dati. Quali passi devono proteggere gli utenti Linux da questo se, ad esempio, usano wine?

Questo ransomware è ampiamente segnalato come basato su uno strumento sviluppato dalla NSA per hackerare i computer. Lo strumento NSA è stato utilizzato da un gruppo di hacker chiamato Shadow Brokers . Il codice può essere trovato in Github .

Microsoft ha rilasciato una patch ( MS17-010 ) contro questa vulnerabilità il 14 marzo 2017. Si dice che l'infezione di massa abbia iniziato a diffondersi il 14 aprile. Questo è discusso qui .

Dato che non ho avviato Windows 8.1 da 6 a 8 settimane, posso applicare questa patch da Ubuntu senza avviare prima Windows? (Dopo le ricerche potrebbe essere possibile che ClamAV possa segnalare la vulnerabilità dal lato Linux esaminando la partizione di Windows, ma è improbabile che possa applicare la patch. Il metodo migliore sarebbe riavviare Windows e applicare la patch MS17-010.)

Individui e piccole aziende che si abbonano agli Aggiornamenti automatici di Microsoft non sono infetti. Le organizzazioni più grandi che ritardano l'applicazione delle patch quando vengono testate contro le intranet dell'organizzazione hanno maggiori probabilità di essere infette.

Il 13 maggio 2017, Microsoft ha fatto il passo straordinario di rilasciare una patch per Windows XP che non è stata supportata per 3 anni.

Nessuna parola se wine sta facendo qualcosa per un aggiornamento di sicurezza. È stato riportato in un commento di seguito che Linux può essere infettato anche quando gli utenti eseguono wine .

Un "eroe accidentale" ha registrato un nome di dominio che fungeva da kill switch per il ransomware. Presumo che il dominio inesistente sia stato utilizzato dagli hacker nella loro intranet privata in modo che non si infettassero. La prossima volta saranno più intelligenti, quindi non fare affidamento su questo kill switch. L'installazione della patch Microsoft, che impedisce lo sfruttamento di una vulnerabilità nel protocollo SMBv1, è il metodo migliore.

Il 14 maggio 2017 Red Hat Linux ha dichiarato di non essere influenzato dal ransomware "Wanna Cry". Ciò potrebbe indurre in errore gli utenti Ubuntu insieme agli utenti Red Hat, CentOS, ArchLinux e Fedora. Red Hat supporta il vino, le cui risposte di seguito possono essere confermate. In sostanza, Ubuntu e altri utenti della distribuzione Linux che cercano su Google questo problema potrebbero essere fuorviati dalla risposta del Supporto Red Hat Linux qui .

Aggiornamento del 15 maggio 2017. Nelle ultime 48 ore Microsoft ha rilasciato patch denominate KB4012598 per Windows 8, XP, Vista, Server 2008 e Server 2003 per la protezione dal ransomware "Wanna Cry". Queste versioni di Windows non sono più sugli aggiornamenti automatici. Anche se ieri ho applicato l'aggiornamento per la protezione MS17-010 sulla mia piattaforma Windows 8.1, il mio vecchio laptop Vista ha ancora bisogno di scaricare e applicare manualmente la patch KB4012598.

Nota del moderatore: questa domanda non è fuori tema, ma chiede se gli utenti Linux debbano fare o meno dei passi per proteggersi dal rischio.

È perfettamente in tema qui, perché è rilevante per Linux (che è Ubuntu), ed è anche rilevante per gli utenti Ubuntu che eseguono Wine o livelli di compatibilità simili, o anche VM sulle loro macchine Ubuntu Linux.

Se aiuta e integra la risposta di Rinzwind , innanzitutto le domande:

1. Come si diffonde?

Via Posta Elettronica. 2 amici ne furono colpiti. Mi inviano l'e-mail per testare in un ambiente controllato, quindi dovresti sostanzialmente aprire l'e-mail, scaricare l'allegato ed eseguirlo. Dopo la contaminazione iniziale, controllerà sistematicamente la rete per vedere chi altro può essere interessato.

2. Posso essere colpito usando Wine?

Risposta breve: Sì. Poiché Wine emula quasi tutti i comportamenti dell'ambiente Windows, il worm può effettivamente provare a trovare il modo in cui può influenzarti. Lo scenario peggiore è che, a seconda dell'accesso diretto del vino al tuo sistema Ubuntu, ne risentiranno alcune o tutte le parti della tua casa (non ho testato completamente questo. Vedi la risposta 4 di seguito), anche se vedo molti blocchi stradali qui per come si comporta il worm e come cercherebbe di crittografare una partizione / file non NTFS / Fat e quale autorizzazione non super amministratore avrebbe bisogno per farlo, anche se proveniente da Wine, quindi non ha pieni poteri come su Windows. In ogni caso, è meglio giocare sul sicuro per questo.

3. Come posso testare il comportamento di questo una volta ricevuto un messaggio di posta elettronica che lo possiede?

Il mio test iniziale che ha coinvolto 4 container VirtualBox sulla stessa rete è terminato in 3 giorni. Fondamentalmente il giorno 0, ho contaminato apposta il primo sistema Windows 10. Dopo 3 giorni, tutti e 4 sono stati interessati e crittografati con il messaggio "Whoops" sulla crittografia. Ubuntu invece non è mai stato interessato, anche dopo aver creato una cartella condivisa per tutti e 4 i guest sul desktop Ubuntu (Outside of Virtualbox). La cartella e i file in essa contenuti non sono mai stati interessati, quindi è per questo che ho i miei dubbi su Wine e su come questo possa propagarsi su di esso.

4. L'ho provato su Wine?

Purtroppo l'ho fatto (avevo già un backup e ho spostato i file di lavoro critici dal desktop prima di farlo). Fondamentalmente, il mio desktop e la mia cartella musicale erano destinati. Tuttavia, non ha influito sulla cartella che avevo in un'altra unità, forse perché non era montata al momento. Ora, prima che ci lasciassimo trasportare, avevo bisogno di far funzionare il vino come sudo perché questo funzionasse (non eseguo mai il vino con il sudo). Quindi nel mio caso, anche con sudo, solo il desktop e la cartella musicale (per me) sono stati interessati.

Nota che Wine ha una funzionalità di integrazione desktop in cui, anche se cambi l'unità C: in qualcosa all'interno della cartella Wine (invece dell'unità predefinita c), sarà comunque in grado di raggiungere la tua cartella Home Linux poiché si associa al tuo cartella home per documenti, video, download, salvataggio di file di gioco, ecc. Questo doveva essere spiegato dal momento che stavo inviando un video su un utente che stava testando WCry e ha cambiato il C Drive in "drive_c" che si trova all'interno del ~ / .wine cartella ma è stato comunque interessato dalla cartella home.

La mia raccomandazione se si desidera evitare o almeno ridurre l'impatto sulla propria cartella home durante il test con wine è semplicemente disabilitare le seguenti cartelle puntandole alla stessa cartella personalizzata all'interno dell'ambiente wine o a una singola cartella falsa in qualsiasi altro luogo.

Sto usando Ubuntu 17.04 64-Bit, le partizioni sono Ext4 e non ho altre misure di sicurezza oltre alla semplice installazione di Ubuntu, la formattazione delle unità e l'aggiornamento del sistema ogni giorno.

Quali passi devono proteggere gli utenti Linux da questo se, ad esempio, usano wine?

Niente. Beh, forse non niente ma niente in più. Si applicano le normali regole: eseguire backup regolari dei dati personali. Prova anche i tuoi backup in modo da sapere che puoi ripristinarli quando necessario.

Cose da notare:

1. Il vino non è Windows. Non usare il vino per:

   1. posta aperta,
   2. aprire i collegamenti a dropbox
   3. navigare in Internet.
      
      Quei 3 sono il modo in cui questo sembra diffondersi sulle macchine. Se è necessario, utilizzare virtualbox con un'installazione normale.

2. Utilizza anche la crittografia e la crittografia in Linux è molto più difficile che in Windows. Se questo malware fosse in grado di toccare il tuo sistema Linux, nella peggiore delle ipotesi i tuoi file personali $homesono compromessi. Quindi ripristina un backup se ciò dovesse mai accadere.

Nessuna parola se wine sta facendo qualcosa per un aggiornamento di sicurezza.

Non è un problema di vino. "Correzione" significa che è necessario utilizzare i componenti di Windows che hanno risolto questo problema. O utilizzare uno scanner antivirus nel vino in grado di trovare questo malware. Il vino stesso non può fornire alcuna forma di correzione.

Ancora una volta: anche se wine può essere utilizzato come vettore di attacco, devi comunque fare le cose come utente, non dovresti fare da wine per infettarti: devi usare wine per aprire un sito Web dannoso, link dannoso in una mail. Non dovresti mai farlo dal momento che il vino non ha alcuna forma di protezione da virus. Se hai bisogno di fare cose del genere, dovresti usare windows in una virtualbox (con software e scanner antivirus aggiornati).

E quando vieni infettato da wine: interesserà solo i file che sono tuoi. Il tuo /home. Quindi lo risolvi eliminando il sistema infetto e ripristinando il backup che già tutti facciamo. Questo è tutto dal lato Linux.

Oh, quando un utente non è "così intelligente" e usa il sudovino, è il problema dell'UTENTE. Non vino.

Semmai: io stesso sono già contrario all'utilizzo del vino per qualsiasi cosa. L'uso di un doppio avvio senza interazione tra Linux e Windows o l'utilizzo di una virtualbox con Windows aggiornato e l'utilizzo di uno scanner antivirus è di gran lunga superiore a tutto ciò che vino può offrire.

Alcune delle aziende interessate da questo:

• Telephonica.
• Fedex.
• Servizi sanitari nazionali (Gran Bretagna).
• Deutsche Bahn (ferrovia tedesca).
• Q-park (Europa. Servizio parcheggio).
• Renault.

Tutti utilizzavano sistemi Windows XP e Windows 7 senza patch. Il più cattivo era il SSN. Usano Windows su hardware dove non possono aggiornare i sistemi operativi (...) e hanno dovuto chiedere ai pazienti di smettere di venire negli ospedali e usare invece il numero di allarme generale.

Fino ad ora non una sola macchina che utilizzava Linux o una singola macchina che utilizzava il vino si era infettata. Potrebbe essere fatto? Sì (nemmeno "probabilmente"). Ma l'impatto sarebbe probabilmente una singola macchina e non avrebbe un effetto a cascata. Per questo avrebbero bisogno della nostra password di amministratore. Quindi "noi" siamo di scarso interesse per quegli hacker.

Se qualcosa da imparare da questo ... smetti di usare Windows per la posta e le attività generali di Internet su un server aziendale . E no, gli scanner di virus NON sono lo strumento giusto per questo: gli aggiornamenti per i virusscanners vengono creati DOPO che il virus è stato trovato. È troppo tardi

Sandbox Windows: non consentire le condivisioni. Aggiorna quelle macchine. -Acquista- un nuovo sistema operativo quando Microsoft può una versione. Non utilizzare software piratato. Una società che utilizza ancora Windows XP chiede che ciò accada.

Le nostre politiche aziendali:

• Usa Linux.
• Non usare condivisioni.
• Utilizzare una password sicura e non salvare le password al di fuori della cassaforte.
• Usa la posta online.
• Usa l'archiviazione online per i documenti.
• Usa Windows all'interno di virtualbox solo per cose che Linux non può fare. Abbiamo alcune VPN utilizzate dai nostri clienti che sono solo Windows. Puoi preparare un vbox e copiarlo quando hai tutto il software che ti serve.
• I sistemi Windows utilizzati all'interno della nostra azienda (ad esempio notebook personali) non sono ammessi sulla rete aziendale.

Questo malware sembra diffondersi in due passaggi:

• Innanzitutto, tramite buoni vecchi allegati di posta elettronica: un utente di Windows riceve un messaggio di posta elettronica con un eseguibile allegato e lo esegue. Nessuna vulnerabilità di Windows coinvolta qui; solo inettitudine dell'utente nell'esecuzione di un eseguibile da una fonte non attendibile (e ignorando l'eventuale avviso dal loro software antivirus).

• Quindi tenta di infettare altri computer sulla rete. È qui che entra in gioco la vulnerabilità di Windows: se ci sono macchine vulnerabili sulla rete, il malware può utilizzarla per infettarle senza alcuna azione da parte dell'utente .

In particolare, per rispondere a questa domanda:

Dato che non ho avviato Windows 8.1 da 6 a 8 settimane, posso applicare questa patch da Ubuntu senza avviare prima Windows?

Puoi essere infettato da questa vulnerabilità solo se nella tua rete è già presente un computer infetto. In caso contrario, è sicuro avviare Windows vulnerabile (e installare subito l'aggiornamento).

Ciò significa anche che l'utilizzo di macchine virtuali non significa che si può essere negligenti. Soprattutto se è direttamente connesso alla rete (collegamento in rete), una macchina virtuale Windows si comporta come qualsiasi altra macchina Windows. Potrebbe non interessarti molto se viene infettato, ma può anche infettare altri computer Windows sulla rete.

Sulla base di ciò che tutti hanno già scritto e parlato di questo argomento:

WannaCrypt ransomware non è codificato per funzionare su un sistema operativo diverso da Windows (escluso Windows 10) perché si basa sull'exploit Eternal Blue di NSA, che sfrutta una violazione della sicurezza di Windows.

L'esecuzione di Wine su Linux non è pericolosa, ma puoi infettarti se usi questo software per download, scambio di e-mail e navigazione web. Wine ha accesso a molti dei percorsi della cartella / home, il che rende possibile a questo malware crittografare i tuoi dati e "infettarti" in qualche modo.

In breve: a meno che i criminali informatici non progettino intenzionalmente WannaCrypt in modo da influenzare i sistemi operativi basati su Debian (o altri sistemi Linux distro), non dovresti preoccuparti di questo argomento come utente Ubuntu, anche se è salutare tenerti informato sui cyber-thread.