Quel est l'impact possible du ransomware "Wanna Cry" sur les utilisateurs de Linux?

62

Il vient juste de découvrir que vous devez payer une rançon de 300 $, car les ransomwares ciblant Microsoft Windows ont chiffré vos données. Quelles mesures les utilisateurs de Linux doivent-ils prendre pour s’en protéger si, par exemple, ils utilisent le vin?

Ce ransomware serait largement basé sur un outil développé par la NSA pour pirater des ordinateurs. L'outil NSA était utilisé par un groupe de hackers appelé Shadow Brokers . Le code peut être trouvé dans Github .

Microsoft a publié un correctif ( MS17-010 ) contre cette vulnérabilité le 14 mars 2017. L'infection massive aurait commencé à se propager le 14 avril. Ceci est discuté ici .

Comme je n'ai pas démarré Windows 8.1 en 6 à 8 semaines, puis-je appliquer ce correctif à partir d'Ubuntu sans démarrer Windows en premier? (Après des recherches, il est possible que ClamAV puisse signaler la vulnérabilité du côté Linux dans la partition Windows, mais il est peu probable qu’elle applique le correctif. La meilleure méthode serait de redémarrer sous Windows et d’appliquer le correctif MS17-010.)

Les particuliers et les petites entreprises qui s’abonnent aux mises à jour automatiques Microsoft ne sont pas infectés. Les grandes organisations qui retardent l’application des correctifs lorsqu’elles sont testées par rapport aux intranets de l’organisation risquent davantage d’être infectées.

Le 13 mai 2017, Microsoft a pris la décision extraordinaire de publier un correctif pour Windows XP non pris en charge depuis 3 ans.

Aucun mot si wine fait quelque chose à propos d’une mise à jour de sécurité. Dans un commentaire ci-dessous, il a été signalé que Linux pouvait aussi être infecté lorsque les utilisateurs exécutaient wine .

Un " Héros accidentel " a enregistré un nom de domaine qui a agi comme un kill-switch vers le ransomware. Je présume que le domaine inexistant a été utilisé par les pirates sur leur intranet privé, de sorte qu'ils ne se sont pas infectés. La prochaine fois, ils seront plus intelligents, alors ne vous fiez pas à ce commutateur de suppression actuel. L'installation du correctif Microsoft, qui empêche d'exploiter une vulnérabilité dans le protocole SMBv1, est la meilleure méthode.

Le 14 mai 2017, Red Hat Linux a déclaré ne pas être concerné par le ransomware "Wanna Cry". Cela pourrait induire les utilisateurs d'Ubuntu en erreur avec les utilisateurs de Red Hat, CentOS, ArchLinux et Fedora. Red Hat prend en charge le vin dont les réponses ci-dessous peuvent être confirmées. En substance, Ubuntu et les autres utilisateurs de distro Linux cherchant à résoudre ce problème peuvent être trompés par le support technique de Red Hat Linux. Pour ce faire, répondez ici .

15 mai 2017 Mise à jour. Au cours des dernières 48 heures, Microsoft a publié des correctifs appelés KB4012598 pour Windows 8, XP. , Vista, Server 2008 et Server 2003 pour protéger contre les ransomwares "Wanna Cry". Ces versions de Windows ne sont plus sur les mises à jour automatiques. Bien que j'ai appliqué hier la mise à jour de sécurité MS17-010 sur ma plate-forme Windows 8.1, mon ancien ordinateur portable Vista nécessite toujours le correctif KB4012598 téléchargé et appliqué manuellement.

  

Note du modérateur: Cette question n’est pas hors sujet - elle demande si les utilisateurs de Linux doivent ou non prendre des mesures pour se protéger contre les risques.

     

Il est parfaitement sur le sujet ici, car il est pertinent pour Linux (ce que Ubuntu est), et il est également pertinent pour les utilisateurs d'Ubuntu exécutant Wine ou des couches de compatibilité similaires, ou même des VM sur leurs machines Linux Ubuntu.

    
posée WinEunuuchs2Unix 13.05.2017 - 01:57
la source

4 réponses

56

Si cela peut vous aider et compléter la réponse de Rinzwind , commencez par les questions suivantes:

1. Comment se propage-t-il?

Par e-mail. 2 amis ont été touchés par cela. Ils m'envoient l'e-mail pour tester sous un environnement supervisé, vous devrez donc essentiellement ouvrir l'e-mail, télécharger la pièce jointe et l'exécuter. Après la contamination initiale, il vérifiera systématiquement le réseau pour voir qui d'autre peut être affecté.

2. Puis-je être affecté par l'utilisation de Wine?

Réponse courte: Oui. Étant donné que Wine émule presque tous les comportements de l'environnement Windows, le ver peut réellement essayer de trouver des moyens de vous affecter. Dans le pire des cas, selon l'accès direct à votre système Ubuntu, une partie ou la totalité de votre maison sera affectée (ceci n'a pas été entièrement testé. Voir la réponse à la question 4 ci-dessous). comment le ver se comporte et comment il essaierait de chiffrer une partition / fichiers non ntfs / fat et quelle autorisation non super admin aurait besoin de le faire, même venant de Wine, donc il n'a pas les pleins pouvoirs comme sous Windows. Dans tous les cas, il est préférable de jouer du bon côté pour cela.

3. Comment puis-je tester le comportement de celui-ci une fois que je reçois un email qui le contient?

Mon premier test impliquant 4 conteneurs VirtualBox sur le même réseau s’est terminé en 3 jours. Fondamentalement, au jour 0, j'ai délibérément contaminé le premier système Windows 10. Après 3 jours, tous les 4 ont été affectés et cryptés avec le message "Whoops" sur le cryptage. Ubuntu d'autre part n'a jamais été affecté, même après la création d'un dossier partagé pour les 4 invités qui se trouve sur le bureau Ubuntu (en dehors de Virtualbox). Le dossier et les fichiers qu'il contient n’ont jamais été affectés, c’est pourquoi j’ai des doutes avec Wine et comment cela peut se propager.

4. Est-ce que je l'ai testé sur Wine?

Malheureusement, je l’ai fait (déjà eu une sauvegarde et déplacé les fichiers de travail critiques du bureau avant de le faire). Fondamentalement, mon bureau et mon dossier de musique étaient condamnés. Cela n'a toutefois pas affecté le dossier que j'avais dans un autre lecteur, peut-être parce qu'il n'était pas monté à ce moment-là. Maintenant, avant que nous soyons emportés, j'ai eu besoin de lancer wine comme sudo pour que cela fonctionne (je ne lance jamais wine avec sudo). Donc dans mon cas, même avec sudo, seul le bureau et le dossier de musique (pour moi) ont été affectés.

Notez que Wine a une fonctionnalité d'intégration de bureau où, même si vous changez le lecteur C: en quelque chose dans le dossier Wine (au lieu du lecteur par défaut c), il pourra toujours accéder à votre dossier Linux depuis correspond à votre dossier personnel pour les documents, vidéos, téléchargements, fichiers de sauvegarde, etc. Cela devait être expliqué depuis que j'ai envoyé une vidéo sur un utilisateur testant WCry et il a changé le lecteur C en "drive_c" /.wine folder mais il est toujours affecté dans le dossier home.

Ma recommandation si vous souhaitez éviter ou du moins réduire l’impact sur votre dossier personnel lorsque vous effectuez un test avec wine, est de simplement désactiver les dossiers suivants en les pointant vers le même dossier personnalisé dans l’environnement wine ou vers un seul faux dossier. sinon.

J'utilise Ubuntu 17.04 64-bit, les partitions sont Ext4 et je n'ai pas d'autre mesure de sécurité que d'installer simplement Ubuntu, de formater les disques et de mettre à jour le système tous les jours.

    
réponse donnée Luis Alvarado 14.05.2017 - 03:17
la source
25
  

Quelles sont les étapes à suivre par les utilisateurs de Linux si, par exemple, ils utilisent Wine?

Rien. Eh bien peut-être pas rien mais rien de plus. Les règles normales s'appliquent: effectuez des sauvegardes régulières de vos données personnelles. Testez également vos sauvegardes pour savoir si vous pouvez les restaurer en cas de besoin.

Points à noter:

  1. Wine n'est pas Windows. N'utilisez pas de vin pour:

    1. ouvrir les mails,
    2. ouvrir les liens de la boîte de dépôt
    3. naviguez sur le Web.

      Ceux-ci sont comme cela semble se répandre sur les machines. Si vous devez le faire, utilisez virtualbox avec une installation normale.
  2. Il utilise également le chiffrement et le chiffrement sous Linux est beaucoup plus difficile que sous Windows. Si ce logiciel malveillant pouvait toucher votre système Linux, vos fichiers personnels de $home seraient au pire compromis. Il suffit donc de restaurer une sauvegarde si cela se produit.

  

Aucun mot si wine fait quelque chose à propos d’une mise à jour de sécurité.

Ce n’est pas un problème de vin. "Réparer" cela signifie que vous devez utiliser les composants Windows qui ont ce correctif. Ou utilisez un scanner de virus dans Wine qui peut trouver ce malware. Wine lui-même ne peut fournir aucune forme de correction.

Encore une fois: même si wine peut être utilisé comme vecteur d’attaque, vous devez toujours faire les choses en tant qu’utilisateur que vous ne devriez pas faire de Wine pour vous infecter: vous devez utiliser wine pour ouvrir un site Web malveillant, lien malveillant dans un courrier. Vous devriez déjà ne jamais faire cela puisque le vin ne contient aucune forme de protection contre les virus. Si vous devez faire des choses comme ça, vous devriez utiliser Windows dans une virtualbox (avec un logiciel et un scanner de virus à jour).

Et quand vous êtes infecté par du vin: cela n'affectera que les fichiers qui vous appartiennent. Votre code%. Donc, vous corrigez cela en supprimant le système infecté et en restaurant la sauvegarde que nous faisons tous déjà. C'est ça du côté de Linux.

Oh, lorsqu'un utilisateur n'est pas "intelligent" et utilise /home avec wine, c'est le problème de l'utilisateur. Pas de vin.

Si quelque chose: je suis déjà contre l'utilisation du vin pour rien. Utiliser un dual boot sans interaction entre Linux et Windows ou utiliser une Virtualbox avec un Windows à jour et utiliser un scanner de virus est de loin supérieur à tout ce que le vin peut offrir.

Certaines des entreprises touchées par ceci:

  • Téléphonica.
  • Fedex.
  • National Health Services (Grande-Bretagne).
  • Deutsche Bahn (chemin de fer allemand).
  • Q-park (Europe. Service de parking).
  • Renault.

Tous les systèmes Windows XP et Windows 7 non protégés. Baddest était le NHS. Ils utilisent Windows sur le matériel où ils ne peuvent pas mettre à niveau les systèmes d'exploitation (...) et doivent demander aux patients de ne plus se rendre dans les hôpitaux et utiliser le numéro d'alarme général à la place.

À ce jour, aucune machine utilisant Linux ou une seule machine utilisant Wine n'a été infectée. Serait-ce possible? Oui (même pas "probablement"). Mais l'impact serait probablement une machine unique et ne produirait pas d'effet en cascade. Ils auraient besoin de notre mot de passe administrateur pour cela. Donc, "nous" intéresse peu ces pirates.

Si quelque chose à apprendre de ceci ... arrêtez d'utiliser Windows pour le courrier et les activités Internet générales sur un serveur company . Et non, les scanneurs de virus ne sont pas le bon outil pour cela: les mises à jour pour les virusscanners sont créées APRÈS que le virus est trouvé. C'est trop tard.

Sandbox Windows: n'autorise pas les partages. Mettez à jour ces machines. -Acheter- un nouveau système d'exploitation lorsque Microsoft peut en conserver une version. N'utilisez pas de logiciels piratés. Une entreprise utilisant toujours Windows XP demande que cela se produise.

Nos politiques d'entreprise:

  • Utiliser Linux.
  • N'utilisez pas de partages.
  • Utilisez un mot de passe sécurisé et ne sauvegardez pas les mots de passe en dehors du coffre-fort.
  • Utilisez le courrier en ligne.
  • Utilisez le stockage en ligne pour les documents.
  • Utilisez uniquement Windows dans virtualbox pour les choses que Linux ne peut pas faire. Nous avons des VPN que nos clients utilisent uniquement sous Windows. Vous pouvez préparer une vbox et la copier lorsque vous avez tous les logiciels dont vous avez besoin.
  • Les systèmes Windows utilisés dans notre société (les ordinateurs portables personnels par exemple) ne sont pas autorisés sur le réseau de l'entreprise.
réponse donnée Rinzwind 13.05.2017 - 09:39
la source
14

Ce malware semble se propager en deux étapes:

  • Premièrement, via de bonnes pièces jointes à un e-mail: un utilisateur Windows reçoit un e-mail avec un exécutable attaché et l'exécute. Aucune vulnérabilité Windows impliquée ici; simplement inaptitude de l'utilisateur à exécuter un exécutable à partir d'une source non fiable (et ignorer l'avertissement de leur logiciel antivirus, le cas échéant).

  • Ensuite, il tente d'infecter d'autres ordinateurs du réseau. C'est là que la vulnérabilité Windows entre en jeu: s'il existe des machines vulnérables sur le réseau, le logiciel malveillant peut l'utiliser pour les infecter sans aucune action de l'utilisateur .

En particulier, pour répondre à cette question:

  

Comme je n'ai pas démarré Windows 8.1 en 6 à 8 semaines, puis-je appliquer ce correctif   à partir d'Ubuntu sans démarrer Windows d'abord?

Vous ne pouvez être infecté que par cette vulnérabilité s'il existe déjà une machine infectée sur votre réseau. Si ce n'est pas le cas, il est recommandé de démarrer un Windows vulnérable (et d'installer la mise à jour immédiatement).

Cela signifie également que l'utilisation de machines virtuelles ne signifie pas que vous pouvez être négligent. Surtout si elle est directement connectée au réseau (mise en réseau pontée), une machine virtuelle Windows se comporte comme toute autre machine Windows. Vous pouvez ne pas vous soucier de l'infection, mais cela peut également infecter d'autres machines Windows sur le réseau.

    
réponse donnée fkraiem 13.05.2017 - 13:05
la source
0

Basé sur ce que tout le monde a écrit et a déjà parlé de ce sujet:

WannaCrypt ransomware n'est pas codé pour fonctionner sur d'autres systèmes d'exploitation que Windows (sauf Windows 10) car il est basé sur l'exploit NSA Eternal Blue, qui tire parti d'une faille de sécurité Windows.

Exécuter Wine sous Linux n'est pas dangereux, mais vous pouvez vous infecter si vous utilisez ce logiciel pour les téléchargements, l'échange de courrier électronique et la navigation sur le Web. Wine a accès à la plupart des chemins de votre dossier / home, ce qui permet à ce malware de crypter vos données et de vous "infecter" d’une manière ou d’une autre.

En bref: À moins que les cybercriminels ne conçoivent intentionnellement WannaCrypt pour affecter les systèmes d'exploitation basés sur Debian (ou d'autres distributions Linux), vous ne devriez pas vous inquiéter à ce sujet en tant qu'utilisateur Ubuntu, bien qu'il soit sain de vous tenir informé des cyber-threads.     

réponse donnée Dorian 21.05.2017 - 02:04
la source

Lire d'autres questions sur les étiquettes