“ Wanna Cry”勒索软件对Linux用户可能有什么影响?


64

事实证明,您需要支付300美元的赎金,因为针对Microsoft Windows的勒索软件已加密您的数据。例如,Linux用户在使用Wine时需要采取什么措施来防止这种情况?

据报道,该勒索软件基于NSA开发的一种入侵计算机的工具。NSA工具由一个名为Shadow Brokers的黑客组织使用。可以在Github中找到该代码。

Microsoft 在2017年3月14日发布了针对此漏洞的补丁程序(MS17-010)。据报道,大规模感染已于4月14日开始传播。这在这里讨论。

由于六到八周内没有启动Windows 8.1,是否可以在不首先启动Windows的情况下从Ubuntu应用此修补程序?(经过研究后,ClamAV可能会从Linux端报告Windows分区的漏洞,但不太可能应用该补丁。最好的方法是重新启动Windows并应用补丁MS17-010。)

订阅Microsoft自动更新的个人和小型公司都没有感染。较大的组织会在针对组织内部网进行测试时延迟应用补丁,因此更有可能被感染。

2017年5月13日,Microsoft采取了非同寻常的步骤,发布了3年以来不受支持的Windows XP补丁。

如果Wine对安全更新没有做任何事情,那就没有消息了。在下面的评论中有报道说,当用户运行wine时,Linux也可能被感染。

一个“偶然的英雄”注册了一个域名,该域名充当了勒索软件的杀戮开关。我认为黑客在其私有Intranet上使用了不存在的域,因此他们不会感染自己。下次他们将变得更聪明,因此不要依赖此最新的kill-switch。最好的方法是安装Microsoft补丁程序,以防止利用SMBv1协议中的漏洞。

在2017年5月14日,Red Hat Linux表示它们不受“ Wanna Cry”勒索软件的影响。这可能会误导Ubuntu用户以及Red Hat,CentOS,ArchLinux和Fedora用户。红帽支持葡萄酒,下面的答案可以实现。本质上,Ubuntu和其他Linux发行版用户在使用谷歌搜索这个问题时可能会被此处的Red Hat Linux支持答案误导。

2017年5月15日更新。在过去的48小时内,Microsoft 为Windows 8,XP,Vista,Server 2008和Server 2003发布了名为KB4012598的补丁程序以防御“ Wanna Cry”勒索软件。这些Windows版本不再自动更新。尽管昨天我在Windows 8.1平台上应用了安全更新MS17-010,但旧的Vista笔记本电脑仍需要下载并手动应用补丁KB4012598。


主持人注意:这个问题不是题外话-它询问是否有任何Linux用户需要采取任何步骤来防范这种风险。

在这里,它是完美的话题,因为它与Linux(Ubuntu是Linux)相关,并且也与运行Wine或类似兼容性层的Ubuntu用户甚至在他们的Ubuntu Linux计算机上的VM相关。


1
“哪个LibreOffice开始在Beta中支持VBA?” 很有趣。您能添加一个链接吗?是help.libreoffice.org/Common/VBA_Properties吗?
DK Bose

1
@DKBose我添加了链接并删除了“ beta”引用。支持IIRC VBA,但有限制。我个人仅使用LO的本地BASIC。
WinEunuuchs2Unix

4
请重新输入您的“问题”,以免暗示勒索软件是Microsoft的产品(您一直在使用Microsoft的表示所有权)。而是针对Microsoft产品的攻击。

2
这不是在Unix和Linux中,因为它不是Ubuntu特有的吗?
Ceda EI,

2
好,有办法。您可以下载修补程序,将其存储在Windows分区中,从网络断开连接并在Windows上重新启动以安装它,然后再重新连接网络。
卡洛斯·曼努埃尔·埃斯卡洛纳·维莱达

Answers:


57

如果有帮助并且可以补充Rinzwind的回答,请首先提出以下问题:

1.它如何传播?

通过电子邮件。2个朋友受到了影响。他们将电子邮件发送给我,以便在有监督的环境下进行测试,因此您基本上需要打开电子邮件,下载附件并运行它。最初的污染之后,它将系统地检查网络,以查看还有哪些人可能受到影响。

2.使用酒会受到影响吗?

简短的回答:是的。由于Wine模仿了Windows环境的几乎所有行为,因此该蠕虫实际上可以尝试寻找各种方式来影响您。最糟糕的情况是,取决于对您的Ubuntu系统使用直接访问功能,您家的某些或所有部分都会受到影响(未对此进行全面测试。请参阅下面的答案4),尽管我在这里看到很多障碍蠕虫的行为方式以及如何尝试对非ntfs / fat分区/文件进行加密,甚至需要来自Wine的非超级管理员权限也需要这样做,因此它没有Windows那样的强大功能。无论如何,最好还是为此谨慎。

3.收到包含此邮件的电子邮件后,如何测试其行为?

我的最初测试在3天内结束,该测试涉及同一网络上的4个VirtualBox容器。基本上在第0天,我故意污染了第一个Windows 10系统。3天后,所有4个都受到影响,并使用有关加密的“ Whoops”消息加密。另一方面,即使在Ubuntu桌面(Virtualbox外部)上为所有4个来宾创建共享文件夹之后,Ubuntu也从未受到影响。该文件夹及其中的文件从未受到影响,因此这就是为什么我对Wine以及如何在Wine上产生疑问表示怀疑的原因。

4.我在Wine上测试过吗?

可悲的是我做到了(这样做之前已经有备份并从桌面上移走了重要的作业文件)。基本上,我的桌面和音乐文件夹注定要失败。但是,它并没有影响我在另一个驱动器中的文件夹,可能是因为当时未安装该文件夹。现在,在我们被带走之前,我确实需要将酒作为sudo运行(我从来没有使用sudo来运行酒)。因此,就我而言,即使使用sudo,也仅会影响桌面和音乐文件夹(对我而言)。

请注意,Wine具有桌面集成功能,即使将C:驱动器更改为Wine文件夹中的某个文件(而不是默认驱动器c),它也仍然可以访问Linux Home文件夹,因为它映射到您的Linux文件夹。主文件夹,用于存放文档,视频,下载,保存游戏文件等。自从我收到了有关测试WCry的用户的视频后,他将C盘更改为〜/ .wine内的“ drive_c”,因此需要对此进行解释。文件夹,但他仍然受到主文件夹的影响。

我的建议是,如果您希望避免或至少减少对Wine进行测试时对主文件夹的影响,只需将以下文件夹指向Wine环境中相同的自定义文件夹,或将其指向其他任何地方的单个假文件夹,即可禁用这些文件夹。

在此处输入图片说明

我使用的是Ubuntu 17.04 64位,分区是Ext4,除了简单地安装Ubuntu,格式化驱动器和每天更新系统之外,我没有其他安全措施。


26

例如,Linux用户在使用Wine时需要采取什么措施来防止这种情况?

没有。好吧,也许不是没有,但没有额外的东西。适用常规规则:对您的个人数据进行定期备份。还测试您的备份,以便您知道可以在需要时还原它们。

注意事项:

  1. 酒不是Windows。不要用酒来:

    1. 打开邮件,
    2. 打开保管箱链接
    3. 浏览网页。

      这些3似乎是它传播到机器上的方式。如果需要这样做,请在常规安装中使用virtualbox。
  2. 它还使用加密,并且在Linux中加密比在Windows中困难得多。如果该恶意软件能够接触您的Linux系统,则最坏的情况是您的个人文件$home受到了威胁。因此,只要有备份就还原它。


如果Wine对安全更新没有做任何事情,那就没有消息了。

这不是葡萄酒的问题。“修复”将意味着您需要使用已修复此问题的Windows组件。或者在酒中使用病毒扫描程序,可以找到此恶意软件。葡萄酒本身不能提供任何形式的修复。

再说一遍:即使可以将wine用作攻击媒介,您仍然需要以用户身份做事,而不应该从wine受到感染:您需要使用wine打开恶意网站,即邮件中的恶意链接。您应该永远不要这样做,因为酒没有任何形式的病毒防护。如果您需要执行类似操作,则应在虚拟机中使用Windows(带有最新的软件和病毒扫描程序)。

而且当您确实受到酒的感染时:它只会影响属于您的文件。你的/home。因此,您可以通过删除受感染的系统并还原我们已经完成的备份来解决此问题。从Linux方面就是这样。

哦,当用户“不太聪明”并sudo与酒一起使用时,这就是用户的问题。不喝酒

如果有的话:我本人已经反对将葡萄酒用于任何用途。使用双重引导而不在linux和Windows之间进行交互,或者使用带有最新Windows的virtualbox以及使用病毒扫描程序,远远优于wine提供的任何功能。


受此影响的一些公司:

  • Telephonica。
  • 联邦快递
  • 国家卫生服务(英国)。
  • 德国铁路(德国铁路)。
  • Q-park(欧洲。停车服务)。
  • 雷诺。

所有使用未打补丁的Windows XP和Windows 7系统。Baddest是NHS。他们在无法升级操作系统的硬件上使用Windows(...),不得不要求患者停止就诊,而是使用常规警报号。

到目前为止,还没有一台使用Linux的计算机或一台使用wine的计算机被感染。能做到吗?是的(甚至不是“可能”)。但是影响可能是一台机器,没有级联作用。他们将需要我们的管理员密码。所以“我们”对那些黑客没什么兴趣。

如果有什么要学习的... ...停止在公司服务器上使用Windows进行邮件和常规Internet活动。不能,病毒扫描程序不是正确的工具:发现病毒后会创建病毒扫描程序的更新。为时已晚。

沙盒Windows:不允许共享。更新那些机器。-购买-当Microsoft可以版本时,购买新的操作系统。请勿使用盗版软件。一家仍在使用Windows XP的公司正在要求这种情况发生。


我们的公司政策:

  • 使用Linux。
  • 不要使用共享。
  • 使用密码保险箱,请勿将密码保存在保险箱之外。
  • 使用在线邮件。
  • 使用在线存储的文档。
  • 仅在VirtualBox内部使用Windows,Linux不能做的事情。我们有一些客户仅使用Windows的VPN。您可以准备一个vbox并将其复制到需要的所有软件中。
  • 公司网络中不允许使用公司内部使用的Windows系统(例如,个人笔记本)。

是的,适用常规规则:定期备份您的个人数据。还测试您的备份,以便您知道可以在需要时还原它们。
sudodus


2
通过我的网络安全公司的一位朋友确认:如果您的文件系统与Wine虚拟驱动器挂载以不安全的方式共享,Wine 可能是一种感染媒介。尽管那是邪恶的和罕见的,但使用Wine的人们应该格外谨慎,而那些不使用Wine的人们应该减少关注(但仍然要谨慎-当然常识在这里适用)
Thomas Ward

恶意软件是否仅加密本地文件?如果我拥有samba共享并将其安装在Windows计算机上怎么办?文件也会在网络驱动器上加密吗?还有另一个风险。已发现一个漏洞,无需用户打开和运行附件。这是不够的Windows恶意软件扫描仪扫描特制文件(pcworld.com/article/3195434/security/...technet.microsoft.com/en-us/library/security/4022344),幸运的是,有一个补丁。
没人

1
@ WinEunuuchs2Unix的一般想法是还原它们。然后到您当前的文件到另一个位置。
林茨温德'17

15

该恶意软件似乎可以通过两个步骤传播:

  • 首先,通过良好的电子邮件附件:Windows用户收到带有附件的可执行文件的电子邮件并运行它。这里没有Windows漏洞;只是用户没有能力从不受信任的来源运行可执行文件(并且忽略其防病毒软件的警告,如果有的话)。

  • 然后,它尝试感染网络上的其他计算机。这就是Windows漏洞发挥作用的地方:如果网络上存在易受攻击的计算机,则该恶意软件无需任何用户操作即可使用它来感染它们。

特别是要回答这个问题:

由于六到八周内没有启动Windows 8.1,是否可以在不首先启动Windows的情况下从Ubuntu应用此修补程序?

如果您的网络上已经有被感染的计算机,则只能通过此漏洞被感染。如果不是这种情况,则可以安全地引导易受攻击的Windows(并立即安装更新)。

顺便说一句,这也意味着使用虚拟机并不意味着您会很粗心。尤其是如果Windows虚拟机直接连接到网络(桥接网络),则其行为与任何其他Windows计算机一样。您可能不太在乎它是否被感染,但是它也可能感染网络上的其他Windows计算机。



0

根据每个人已经写过的和关于这个主题的演讲:

WannaCrypt勒索软件未编码为可在Windows以外的其他操作系统(不包括Windows 10)上运行,因为它基于NSA Eternal Blue漏洞,该漏洞利用了Windows安全漏洞。

在Linux上运行Wine并非不安全,但是如果您使用此软件进行下载,电子邮件交换和网络浏览,则可能会感染自己。Wine确实可以访问许多/ home文件夹路径,这使该恶意软件可以加密您的数据并以某种方式“感染”您。

简而言之:除非网络犯罪分子有意设计WannaCrypt来影响基于Debian(或其他Linux发行版)的OS,否则,作为Ubuntu用户,您不必担心此问题,尽管让自己了解网络线程是健康的。


Sophos提供了针对非商业目的免费提供的Linux访问防病毒软件。虽然我没有看过,但我希望它已针对该勒索软件进行了更新。sophos.com/en-us/products/free-tools/…–
标记

Sophos在带有手动界面的命令行上运行。我的意思是一个实际的程序,能够运行自身并自己扫描文件,而无需用户运行扫描。因此,当检测到威胁时,该软件可以警告您并询问您如何处理。
多里安

这就是“访问中”的明确含义。它完全符合您的描述。
标记

如果我从未设法运行过Sophos恶魔,我必须是盲人或完全是盲人。你能告诉我如何吗?
多里安

1
我很乐意尽我所能。不用担心不是专家-我们都在自己的学习道路上。以下是有关如何安装的文档:sophos.com/zh-cn/medialibrary/PDFs/documentation/…编写得非常好。如果您有困难,请抛出一个新话题并向我发送消息以确保我看到您的帖子。HTH
Mark
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.