Welche möglichen Auswirkungen hat die Ransomware „Wanna Cry“ auf Linux-Benutzer?


64

Es hat sich herausgestellt, dass Sie ein Lösegeld von 300 US-Dollar zahlen müssen, weil Ransomware, die auf Microsoft Windows abzielt, Ihre Daten verschlüsselt hat. Welche Schritte müssen Linux-Benutzer unternehmen, um sich davor zu schützen, wenn sie beispielsweise Wein verwenden?

Es wird allgemein berichtet, dass diese Ransomware auf einem Tool basiert, das von der NSA entwickelt wurde, um sich in Computer zu hacken. Das NSA-Tool wurde von einer Hacker-Gruppe namens Shadow Brokers verwendet . Der Code ist in Github zu finden .

Microsoft hat am 14. März 2017 einen Patch ( MS17-010 ) gegen diese Sicherheitsanfälligkeit veröffentlicht. Die Masseninfektion soll sich seit dem 14. April ausgebreitet haben. Dies wird hier diskutiert .

Kann ich diesen Patch von Ubuntu aus anwenden, ohne vorher Windows zu booten, da ich Windows 8.1 in 6 bis 8 Wochen nicht mehr gebootet habe? (Nach Recherchen ist es möglich, dass ClamAV die Sicherheitsanfälligkeit von Linux-Seite mit Blick auf die Windows-Partition meldet, aber es ist unwahrscheinlich, dass der Patch angewendet wird. Die beste Methode wäre, einen Neustart in Windows durchzuführen und den Patch MS17-010 anzuwenden.)

Einzelpersonen und kleine Unternehmen, die Microsoft Automatic Updates abonnieren, sind nicht infiziert. Größere Organisationen, die das Anwenden von Patches verzögern, da diese gegen Organisations-Intranets getestet werden, sind mit höherer Wahrscheinlichkeit infiziert.

Am 13. Mai 2017 hat Microsoft den außergewöhnlichen Schritt unternommen, einen Patch für Windows XP zu veröffentlichen, der seit 3 ​​Jahren nicht mehr unterstützt wird.

Kein Wort, wenn Wein etwas gegen ein Sicherheitsupdate unternimmt. Es wurde in einem Kommentar unten berichtet, dass Linux auch infiziert werden kann, wenn Benutzer Wine ausführen .

Ein "versehentlicher Held" registrierte einen Domainnamen, der als Kill-Switch für die Ransomware fungierte. Ich nehme an, dass die nicht vorhandene Domain von den Hackern in ihrem privaten Intranet verwendet wurde, damit sie sich nicht selbst infizierten. Das nächste Mal werden sie schlauer, verlassen Sie sich also nicht auf diesen aktuellen Kill-Switch. Die beste Methode ist die Installation des Microsoft-Patches, mit dem verhindert wird, dass eine Sicherheitsanfälligkeit im SMBv1-Protokoll ausgenutzt wird.

Am 14. Mai 2017 gab Red Hat Linux bekannt, dass sie nicht von der Ransomware "Wanna Cry" betroffen sind. Dies kann sowohl Ubuntu-Benutzer als auch Red Hat-, CentOS-, ArchLinux- und Fedora-Benutzer in die Irre führen. Red Hat unterstützt Wein, der durch die unten stehenden Antworten bestätigt werden kann. Im Wesentlichen könnten Ubuntu und andere Linux-Distributoren, die dieses Problem googeln, durch die Antwort des Red Hat Linux-Supports hier irregeführt werden .

15. Mai 2017 Aktualisierung. In den letzten 48 Stunden veröffentlichte Microsoft Patches mit der Bezeichnung KB4012598 für Windows 8, XP, Vista, Server 2008 und Server 2003 zum Schutz vor "Wanna Cry" -Ransomware. Diese Windows-Versionen werden nicht mehr automatisch aktualisiert. Obwohl ich gestern das Sicherheitsupdate MS17-010 auf meiner Windows 8.1-Plattform angewendet habe, muss auf meinem alten Vista-Laptop immer noch der Patch KB4012598 heruntergeladen und manuell angewendet werden.


Hinweis für Moderatoren: Diese Frage ist kein Thema. Sie fragt, ob Linux-Benutzer Schritte zum Schutz vor dem Risiko ausführen müssen.

Es ist hier ein perfektes Thema, da es für Linux (was Ubuntu ist) und auch für Ubuntu-Benutzer relevant ist, die Wine oder ähnliche Kompatibilitätsebenen oder sogar VMs auf ihren Ubuntu-Linux-Maschinen ausführen.


1
"VBA, das LibreOffice in der Beta unterstützt?" ist interessant. Können Sie dem bitte einen Link hinzufügen? Wäre es help.libreoffice.org/Common/VBA_Properties ?
DK Bose

1
@DKBose Ich habe den Link hinzugefügt und die "Beta" -Referenz entfernt. IIRC VBA wird mit Einschränkungen unterstützt. Persönlich habe ich nur LOs native BASIC verwendet.
WinEunuuchs2Unix

4
Bitte wiederholen Sie Ihre Wort „Frage“ zu vermeiden , was impliziert , die Ransomware ein Produkt von Microsoft ist (Sie ständig verwenden Microsoft , um anzuzeigen , besitzergreifend). Es ist eher ein Angriff, der auf ein Microsoft-Produkt abzielt.
Dienstag,

2
Sollte dies nicht unter Unix und Linux sein, da es nicht Ubuntu-spezifisch ist?
Ceda EI

2
Nun, es gibt einen Weg. Sie können den Patch herunterladen, in der Windows-Partition speichern, die Verbindung zum Netzwerk trennen und unter Windows neu starten, um ihn zu installieren, bevor Sie das Netzwerk erneut verbinden.
Carlos Manuel Escalona Villeda

Antworten:


57

Wenn es hilft und die Antwort von Rinzwind ergänzt , zuerst die Fragen:

1. Wie verbreitet es sich?

Per Email. 2 Freunde waren davon betroffen. Sie senden die E-Mail an mich, um sie in einer überwachten Umgebung zu testen. Daher müssen Sie die E-Mail grundsätzlich öffnen, den Anhang herunterladen und ausführen. Nach der anfänglichen Kontamination wird das Netzwerk systematisch überprüft, um festzustellen, wer sonst noch betroffen sein könnte.

2. Kann ich mit Wine in Mitleidenschaft gezogen werden?

Kurze Antwort: Ja. Da Wine nahezu jedes Verhalten der Windows-Umgebung emuliert, kann der Wurm tatsächlich versuchen, herauszufinden, wie es sich auf Sie auswirken kann. Das schlimmste Szenario ist, dass abhängig vom direkten Zugriff von Wine auf Ihr Ubuntu-System einige oder alle Teile Ihres Hauses betroffen sind (habe dies nicht vollständig getestet. Siehe Antwort 4 unten), obwohl ich hier viele Straßensperren sehe Wie sich der Wurm verhält und wie er versuchen würde, eine Nicht-NTFS / Fat-Partition / -Dateien zu verschlüsseln, und welche Nicht-Super-Administrator-Berechtigung würde er dazu benötigen, selbst wenn er von Wine stammt, sodass er nicht die vollen Fähigkeiten wie unter Windows besitzt. In jedem Fall ist es besser, auf der sicheren Seite zu spielen.

3. Wie kann ich das Verhalten testen, wenn ich eine E-Mail erhalte, die es enthält?

Mein erster Test mit 4 VirtualBox-Containern im selben Netzwerk endete in 3 Tagen. Grundsätzlich habe ich am Tag 0 absichtlich das erste Windows 10-System kontaminiert. Nach 3 Tagen waren alle 4 betroffen und mit der "Whoops" -Nachricht über die Verschlüsselung verschlüsselt. Ubuntu hingegen war auch nach dem Erstellen eines freigegebenen Ordners für alle 4 Gäste auf dem Ubuntu-Desktop (außerhalb von Virtualbox) nicht betroffen. Der Ordner und die darin enthaltenen Dateien waren nie betroffen, daher habe ich meine Zweifel an Wine und wie sich dies darauf ausbreiten kann.

4. Habe ich es an Wein getestet?

Leider habe ich das getan (hatte bereits ein Backup und hat zuvor wichtige Jobdateien vom Desktop verschoben). Grundsätzlich waren mein Desktop und mein Musikordner zum Scheitern verurteilt. Es wirkte sich jedoch nicht auf den Ordner aus, den ich auf einem anderen Laufwerk hatte, möglicherweise weil er zu diesem Zeitpunkt nicht gemountet war. Bevor wir weggetragen werden, musste ich Wein als Sudo laufen lassen, damit dies funktioniert (ich lasse niemals Wein mit Sudo laufen). In meinem Fall war sogar mit sudo nur der Desktop und der Musikordner (für mich) betroffen.

Beachten Sie, dass Wine über eine Desktop-Integrationsfunktion verfügt, mit der Wine, auch wenn Sie das Laufwerk C: in einen Ordner im Ordner Wine ändern (anstelle des Standardlaufwerks c), weiterhin auf Ihren Linux-Basisordner zugreifen kann, da es Ihrem entspricht Home-Ordner für Dokumente, Videos, Downloads, Speichern von Spieledateien usw. Dies musste erklärt werden, da ich ein Video über einen Benutzer gesendet habe, der WCry testet, und er das C-Laufwerk in "drive_c" geändert hat, das sich im ~ / .wine befindet Ordner, aber er wurde immer noch auf dem Home-Ordner betroffen.

Meine Empfehlung, wenn Sie die Auswirkungen auf Ihren privaten Ordner beim Testen mit Wein vermeiden oder zumindest verringern möchten, lautet, die folgenden Ordner einfach zu deaktivieren, indem Sie sie auf denselben benutzerdefinierten Ordner in der Weinumgebung oder auf einen einzelnen gefälschten Ordner an einer anderen Stelle verweisen.

Bildbeschreibung hier eingeben

Ich verwende Ubuntu 17.04 64-Bit, Partitionen sind Ext4 und ich habe keine anderen Sicherheitsmaßnahmen, als einfach Ubuntu zu installieren, die Laufwerke zu formatieren und das System jeden Tag zu aktualisieren.


26

Welche Schritte müssen Linux-Benutzer unternehmen, um sich davor zu schützen, wenn sie beispielsweise Wein verwenden?

Nichts. Naja, vielleicht nichts, aber nichts extra. Es gelten die üblichen Regeln: Führen Sie regelmäßige Sicherungen Ihrer persönlichen Daten durch. Testen Sie auch Ihre Backups, damit Sie sie bei Bedarf wiederherstellen können.

Dinge zu beachten:

  1. Wein ist nicht Windows. Verwenden Sie keinen Wein, um:

    1. offene Mails,
    2. Dropbox-Links öffnen
    3. Stöbern Sie im Web.

      Diese 3 scheinen sich auf Maschinen auszubreiten. Wenn Sie dies tun müssen, verwenden Sie virtualbox bei einer normalen Installation.
  2. Es verwendet auch Verschlüsselung und Verschlüsselung unter Linux ist viel schwieriger als unter Windows. Wenn diese Malware Ihr Linux-System berühren könnte, sind im schlimmsten Fall Ihre persönlichen Dateien in Ihrem System $homegefährdet. Stellen Sie in diesem Fall einfach ein Backup wieder her.


Kein Wort, wenn Wein etwas gegen ein Sicherheitsupdate unternimmt.

Es ist kein Weinproblem. "Reparieren" bedeutet, dass Sie Windows-Komponenten verwenden müssen, für die dies behoben wurde. Oder verwenden Sie einen Virenscanner in Wine, der diese Malware findet. Wein selbst kann keine Form der Lösung bieten.

Nochmals: Auch wenn Wein als Angriffsmethode verwendet werden kann, müssen Sie als Benutzer bestimmte Aktionen ausführen, die Sie nicht ausführen sollten, um sich anzustecken. Sie müssen Wein verwenden, um eine schädliche Website zu öffnen, einen böswilligen Link in einer E-Mail. Das sollten Sie schon nie tun, da Wein keinerlei Virenschutz bietet. Wenn Sie solche Dinge tun müssen, sollten Sie Windows in einer Virtualbox verwenden (mit aktueller Software und Virenscanner).

Und wenn Sie über Wein infiziert werden: Es betrifft nur Dateien, die Ihnen gehören. Ihr /home. Sie beheben dies, indem Sie das infizierte System löschen und das Backup wiederherstellen, das wir alle bereits erstellt haben. Das war's von der Linux-Seite.

Oh, wenn ein Benutzer "nicht so schlau" ist und sudoWein verwendet, ist dies das Problem des BENUTZERS. Kein Wein.

Wenn überhaupt: Ich selbst bin schon dagegen, Wein für irgendetwas zu verwenden. Die Verwendung eines Dualboots ohne Interaktion zwischen Linux und Windows oder einer Virtualbox mit einem aktuellen Windows-Betriebssystem und einem Virenscanner ist allem, was Wine bieten kann, weit überlegen.


Einige der davon betroffenen Unternehmen:

  • Telephonica.
  • Fedex.
  • National Health Services (Großbritannien).
  • Deutsche Bahn.
  • Q-Park (Europa. Parkservice).
  • Renault.

Alle verwendeten nicht gepatchten Windows XP- und Windows 7-Systeme. Am schlimmsten war der NHS. Sie verwenden Windows auf Hardware, auf der sie die Betriebssysteme nicht aktualisieren können (...), und mussten die Patienten auffordern, nicht mehr in Krankenhäuser zu kommen und stattdessen die allgemeine Alarmnummer zu verwenden.

Bisher wurde noch kein einziger Rechner mit Linux oder ein einziger Rechner mit Wine infiziert. Könnte es gemacht werden? Ja (nicht einmal "wahrscheinlich"). Aber die Auswirkung wäre wahrscheinlich eine einzelne Maschine und hätte keinen Kaskadeneffekt. Dafür benötigen sie unser Administratorkennwort. Deshalb sind "wir" für diese Hacker von geringem Interesse.

Wenn etwas daraus zu lernen ist, beenden Sie die Verwendung von Windows für E-Mail- und allgemeine Internetaktivitäten auf einem Unternehmensserver . Und nein, Virenscanner sind NICHT das richtige Werkzeug dafür: Updates für Virenscanner werden erstellt, nachdem der Virus gefunden wurde. Das ist zu spät

Sandbox Windows: Freigaben nicht zulassen. Aktualisieren Sie diese Maschinen. -Kaufen Sie ein neues Betriebssystem, wenn Microsoft eine Version cannt. Verwenden Sie keine Raubkopien. Eine Firma, die immer noch Windows XP verwendet, bittet darum.


Unsere Firmenrichtlinien:

  • Verwenden Sie Linux.
  • Verwenden Sie keine Freigaben.
  • Verwenden Sie einen Passwort-Safe und speichern Sie keine Passwörter außerhalb des Safes.
  • Verwenden Sie Online-Mail.
  • Nutzen Sie den Online-Speicher für Dokumente.
  • Verwenden Sie Windows nur in virtualbox, wenn Linux dies nicht kann. Wir haben einige VPNs, die von unseren Kunden nur unter Windows verwendet werden. Sie können eine vbox vorbereiten und kopieren, wenn Sie über die gesamte Software verfügen, die Sie benötigen würden.
  • Windows-Systeme, die in unserem Unternehmen verwendet werden (z. B. persönliche Notebooks), sind im Unternehmensnetzwerk nicht zulässig.

Ja, es gelten die normalen Regeln: Erstellen Sie regelmäßige Backups Ihrer persönlichen Daten. Testen Sie auch Ihre Backups, damit Sie sie bei Bedarf wiederherstellen können.
Sudodus


2
Bestätigt durch einen Freund in meiner Cyber-Sicherheitsfirma: Wine kann ein Infektionsvektor sein, wenn Ihr Dateisystem auf unsichere Weise mit den virtuellen Wine-Laufwerk-Mounts geteilt wird. Obwohl dies böse und selten ist, sollten Leute, die Wein trinken, besonders vorsichtig sein, und diejenigen, die keinen Wein trinken, sollten weniger besorgt sein (aber dennoch vorsichtig - hier gilt natürlich der gesunde Menschenverstand)
Thomas Ward

Verschlüsselt die Malware nur lokale Dateien? Was ist, wenn ich eine Samba-Freigabe habe und diese auf einem Windows-Computer einbinde? Werden die Dateien auch auf einem Netzwerklaufwerk verschlüsselt? Es gibt auch ein anderes Risiko. Es wurde eine Sicherheitsanfälligkeit gefunden, bei der Benutzer den Anhang nicht öffnen und ausführen müssen. Es reicht aus, wenn der Windows-Malware-Scanner eine speziell gestaltete Datei scannt ( pcworld.com/article/3195434/security/… , technet.microsoft.com/en-us/library/security/4022344 ). Zum Glück gibt es einen Patch.
Niemand

1
@ WinEunuuchs2Unix die allgemeine Idee ist, sie wiederherzustellen. An einen anderen Ort als Ihre aktuellen Dateien.
Rinzwind

15

Diese Malware scheint sich in zwei Schritten zu verbreiten:

  • Erstens über gute alte E-Mail-Anhänge: Ein Windows-Benutzer erhält eine E-Mail mit einer angehängten ausführbaren Datei und führt sie aus. Hier liegt keine Windows-Sicherheitslücke vor. Nur die Unfähigkeit des Benutzers, eine ausführbare Datei von einer nicht vertrauenswürdigen Quelle auszuführen (und die Warnung der Antivirensoftware zu ignorieren, falls vorhanden).

  • Anschließend wird versucht, andere Computer im Netzwerk zu infizieren. Hier kommt die Windows-Sicherheitsanfälligkeit ins Spiel: Wenn sich anfällige Computer im Netzwerk befinden, kann die Malware sie verwenden, um sie ohne Benutzeraktion zu infizieren .

Um diese Frage zu beantworten:

Da ich Windows 8.1 in 6 bis 8 Wochen nicht mehr gebootet habe, kann ich diesen Patch von Ubuntu installieren, ohne vorher Windows zu booten?

Sie können durch diese Sicherheitsanfälligkeit nur infiziert werden, wenn sich bereits ein infizierter Computer in Ihrem Netzwerk befindet. Ist dies nicht der Fall, ist es sicher, ein anfälliges Windows zu starten (und das Update sofort zu installieren).

Dies bedeutet im Übrigen auch, dass die Verwendung virtueller Maschinen nicht bedeutet, dass Sie sorglos sein können. Insbesondere wenn es direkt mit dem Netzwerk verbunden ist (Bridged Networking), verhält sich eine virtuelle Windows-Maschine wie jede andere Windows-Maschine. Es ist Ihnen vielleicht egal, ob es infiziert wird, aber es kann auch andere Windows-Computer im Netzwerk infizieren.



0

Basierend auf dem, was alle bereits über dieses Thema geschrieben und gesprochen haben:

Die WannaCrypt-Ransomware ist nicht für andere Betriebssysteme als Windows (ohne Windows 10) codiert, da sie auf dem NSA Eternal Blue-Exploit basiert, bei dem eine Windows-Sicherheitsverletzung ausgenutzt wird.

Wine unter Linux auszuführen ist nicht unsicher, aber Sie können sich selbst infizieren, wenn Sie diese Software zum Herunterladen, zum E-Mail-Austausch und zum Surfen im Internet verwenden. Wine hat Zugriff auf viele Ihrer / home-Ordnerpfade, wodurch diese Malware Ihre Daten verschlüsseln und Sie auf irgendeine Weise "infizieren" kann.

Kurz gesagt: Sofern die Cyberkriminellen WannaCrypt nicht absichtlich für Debian-Betriebssysteme (oder andere Linux-Distributionsbetriebssysteme) entwickeln, sollten Sie sich als Ubuntu-Benutzer keine Sorgen um dieses Thema machen.


Sophos bietet On-Access-Linux-Virenschutz, der für nichtkommerzielle Zwecke kostenlos ist. Obwohl ich nicht nachgesehen habe, würde ich erwarten, dass es für diese Ransomware aktualisiert wurde. sophos.com/en-us/products/free-tools/...
Mark

Sophos läuft auf der Kommandozeile mit einer manuellen Oberfläche. Ich meinte ein tatsächliches Programm, das in der Lage ist, sich selbst auszuführen und Dateien selbst zu scannen, ohne dass der Benutzer einen Scan ausführen muss. Wenn also eine Bedrohung erkannt wird, kann die Software Sie warnen und Sie fragen, was Sie dagegen tun sollen.
Dorian

Genau das ist "on access". Es macht genau das, was Sie beschrieben haben.
Mark

Ich muss blind oder völlig noob sein, wenn ich es nie geschafft habe, ein funktionierendes Sophos-Deamon auszuführen. Kannst du mir sagen wie?
Dorian

1
Ich helfe gerne, soweit ich kann. Keine Sorge, kein Experte zu sein - wir sind alle auf unseren eigenen Lernwegen. Hier finden Sie Dokumentation zur Installation: sophos.com/en-us/medialibrary/PDFs/documentation/… Es ist sehr gut geschrieben. Wenn Sie Probleme haben, werfen Sie einen neuen Thread auf und senden Sie mir eine Nachricht, um sicherzustellen, dass ich Ihren Beitrag sehe. HTH
Mark
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.