当前位置: 首页>>技术教程>>正文


什么是“Wanna Cry”勒索软件对Linux用户可能产生的影响?

, , ,

问题描述

据了解,您需要支付300美元的赎金,因为针对Microsoft Windows的勒索软件已经加密了您的数据。 Linux用户需要采取哪些措施来防止这种情况,例如他们正在使用葡萄酒?

据报道,这种勒索软件基于NSA开发的入侵计算机的工具。 NSA工具被一个名为Shadow Brokers的黑客组织使用。代码可以在Github中找到。

微软于2017年3月14日发布了针对此漏洞的补丁(MS17-010)。据报道,大规模感染已于4月14日开始蔓延。这是讨论here

由于我没有在6到8周内启动Windows 8.1,我可以在不首先启动Windows的情况下从Ubuntu应用此补丁吗? (经过研究后,ClamAV可能会报告来自Linux方面的漏洞,看看Windows分区,但它不太可能应用补丁。最好的方法是重启到Windows并应用补丁MS17-010。)

订阅Microsoft自动更新的个人和小公司未受感染。在针对组织内部网进行测试时延迟应用补丁的较大组织更有可能被感染。

2017年5月13日,微软采取了非凡的步骤,发布了Windows XP的补丁,该补丁已经有3年没有得到支持。

如果葡萄酒正在对安全更新做任何事情,那就没问题了在下面的评论中报告说,当用户运行wine时,Linux也会被感染。

“accidental hero”在勒索软件中注册了一个充当kill-switch的域名。我认为黑客在他们的私人内部网上使用了non-existent域,因此他们没有感染自己。下次他们会变得更聪明,所以不要依赖当前的kill-switch。安装Microsoft补丁(防止利用SMBv1协议中的漏洞)是最好的方法。

2017年5月14日,Red Hat Linux表示他们不受”Wanna Cry”勒索软件的影响。这可能会误导Ubuntu用户以及Red Hat,CentOS,ArchLinux和Fedora用户。红帽支持葡萄酒,可以实现以下答案。本质上,Ubuntu和其他Linux发行版用户在谷歌搜索这个问题可能会被Red Hat Linux支持人员回答here误导。

2017年5月15日更新。在过去48小时内,微软发布了针对Windows 8, XP, Vista, Server 2008 and Server 2003的称为KB4012598的补丁,以防范”Wanna Cry”勒索软件。这些Windows版本不再自动更新。虽然我昨天在Windows 8.1平台上应用了安全更新MS17-010,但我的旧版Vista笔记本电脑仍然需要下载并手动应用补丁KB4012598。


Moderator note: This question is not off topic – it asks about whether or not any Linux users need to do any steps for protecting against the risk.

It is perfectly on topic here, because it’s relevant to Linux (which Ubuntu is), and it’s also relevant for Ubuntu users running Wine or similar compatibility layers, or even VMs on their Ubuntu Linux machines.

最佳解决方法

如果它有助于补充Rinzwind’s answer,首先是问题:

1.它是如何传播的?

通过电子邮件。 2个朋友受此影响。他们将电子邮件发送给我在受监管的环境下进行测试,因此您基本上需要打开电子邮件,下载附件并运行它。在最初的污染之后,它会系统地检查网络,看看还有谁可能受到影响。

2.使用Wine可以影响我吗?

简短回答:是的。由于Wine几乎可以模拟Windows环境的所有行为,因此蠕虫实际上可以尝试找到它如何影响您的方法。最糟糕的情况是,根据直接访问葡萄酒对你的Ubuntu系统的影响,你家的部分或全部部分都会受到影响(没有完全测试这个。见下面的答案4),虽然我看到很多路障蠕虫如何表现以及它将如何尝试加密非ntfs /fat分区/文件以及non-super管理员权限将需要做什么,甚至来自Wine,因此它没有像Windows上那样的全部功能。无论如何,为了安全起见,最好是为了安全起见。

3.一旦收到包含该邮件的电子邮件,我该如何测试这种行为?

我在同一网络上涉及4个VirtualBox容器的初始测试在3天内结束。基本上在第0天,我故意污染了第一个Windows 10系统。 3天后,所有4个都受到影响并使用”Whoops”消息加密。另一方面,Ubuntu从未受到影响,即使在为Ubuntu桌面(Virtualbox外部)上的所有4个访客创建共享文件夹之后也是如此。文件夹及其中的文件从未受到影响,因此我对Wine有疑问以及它如何在其上传播。

我在Wine上测试了吗?

可悲的是我做了(在这之前已经有了备份并从桌面移动了关键作业文件)。基本上,我的桌面和音乐文件夹注定要失败。但它并没有影响我在另一个驱动器中的文件夹,可能是因为它当时没有安装。在我们被带走之前,我确实需要将葡萄酒作为sudo运行(我从未用sudo运行葡萄酒)。所以在我的情况下,即使使用sudo,只有桌面和音乐文件夹(对我而言)受到影响。

请注意,Wine具有桌面集成功能,即使您将C:驱动器更改为Wine文件夹内的某些内容(而不是默认驱动器c),它仍然可以访问您的Linux Home文件夹,因为它映射到您的文件,视频,下载,保存游戏文件等的主文件夹。这需要解释,因为我发送了一个关于测试WCry的用户的视频,他将C盘更改为”drive_c”,它位于〜/.wine文件夹中但是他仍然受到主文件夹的影响。

我的建议是,如果您希望避免或至少降低对使用wine进行测试时对主文件夹的影响,只需将以下文件夹指向wine环境中的同一个自定义文件夹或其他任何位置的单个假文件夹即可。

windows,wine,malware,ubuntu

使用Ubuntu 17.04 64位,分区是Ext4,除了简单地安装Ubuntu,格式化驱动器和每天更新系统之外,我没有其他安全措施。

次佳解决方法

What steps do Linux users need to protect from this if for example they are using wine?

没有。好吧也许不是什么,只是没有额外。适用的常规规则是:定期备份您的个人数据。还要测试备份,以便您知道可以在需要时还原它们。

注意事项:

  1. 葡萄酒不是Windows。不要用酒来:

    1. 打开邮件,

    2. 打开Dropbox链接

    3. 浏览网页。这三种方式似乎传播到机器上。如果您需要这样做,请使用正常安装的virtualbox。

  2. 它在Linux中使用加密和加密比在Windows中困难得多。如果此恶意软件能够触及您的Linux系统,则最糟糕的是您的$home中的个人文件会受到损害。所以只要恢复备份就行了。


No word if wine is doing anything about a security update.

这不是葡萄酒问题。 “Fixing”这意味着您需要使用具有此修复功能的Windows组件。或者在可以找到此恶意软件的葡萄酒中使用病毒扫描程序。葡萄酒本身无法提供任何形式的修复。

再说一遍:即使葡萄酒可以用作攻击媒介,你仍然需要做一些你不应该用葡萄酒来做感染的用户:你需要使用葡萄酒打开恶意网站,邮件中的恶意链接。你应该永远不会这样做,因为葡萄酒没有任何形式的病毒保护。如果您需要这样做,您应该在虚拟机中使用Windows(使用最新的软件和病毒扫描程序)。

当你感染葡萄酒时:它只会影响你的文件。您的/home。所以你通过删除受感染的系统并恢复我们已经完成的备份来解决这个问题。这是从Linux方面来的。

哦当用户“不那么聪明”并且使用sudo和葡萄酒时,这就是用户问题。不是酒。

如果有的话:我自己已经反对使用葡萄酒了。使用Linux和Windows之间没有交互的双启动或使用具有最新Windows和使用病毒扫描程序的虚拟机远远优于葡萄酒提供的任何东西。


一些受影响的公司:

  • Telephonica。

  • 联邦快递。

  • 国家卫生服务(英国)。

  • Deutsche Bahn(德国铁路)。

  • Q-park(欧洲。停车服务)。

  • 雷诺。

所有使用未修补的Windows XP和Windows 7系统。最糟糕的是NHS。他们在硬件上使用Windows,他们无法升级操作系统(…),不得不要求患者停止来医院并使用一般警报号码。

截至目前尚未使用Linux的单一机器或使用葡萄酒的单台机器被感染。可以吗?是的(甚至不是”probably”)。但影响可能是一台机器而且没有级联效应。他们需要我们的管理员密码。所以”we”对这些黑客并不感兴趣。

如果有什么需要从中学习…停止使用Windows进行公司服务器上的邮件和一般互联网活动。不,病毒扫描程序不是正确的工具:在发现病毒后创建病毒扫描程序的更新。那太晚了。

沙盒Windows:不允许共享。更新这些机器。 – 购买 – 微软可以推出一个版本的新操作系统。不要使用盗版软件。仍在使用Windows XP的公司要求实现这一点。


我们的公司政策:

  • 使用Linux。

  • 不要使用股票。

  • 使用密码保险箱,不要将密码保存在保险箱外。

  • 使用在线邮件。

  • 使用在线存储文件。

  • 只能在虚拟机内部使用Windows来处理Linux无法做到的事情。我们有一些客户使用的VPN,仅限Windows。您可以准备一个vbox,并在您拥有所需的所有软件时将其复制。

  • 我们公司内部使用的Windows系统(例如个人笔记本电脑)不允许在公司网络上使用。

第三种解决方法

此恶意软件似乎分两步传播:

  • 首先,通过好的’e-mail附件:Windows用户接收带有附加可执行文件的e-mail并运行它。此处不涉及Windows漏洞;只是用户无法从不受信任的来源运行可执行文件(并忽略其防病毒软件的警告,如果有的话)。

  • 然后它试图感染网络上的其他计算机。这就是Windows漏洞发挥作用的地方:如果网络上存在易受攻击的计算机,那么恶意软件可以使用它来感染它们而无需任何用户操作。

特别要回答这个问题:

As I haven’t booted Windows 8.1 in 6 to 8 weeks can I apply this patch from Ubuntu without booting Windows first?

如果您的网络上已存在受感染的计算机,则您只能通过此漏洞感染。如果不是这种情况,则可以安全地启动易受攻击的Windows(并立即安装更新)。

顺便说一句,这也意味着使用虚拟机并不意味着你可能会粗心大意。特别是如果它直接连接到网络(桥接网络),Windows虚拟机的行为就像任何其他Windows机器一样。如果被感染,您可能不会非常在意,但它也可能感染网络上的其他Windows机器。

参考资料

本文由Ubuntu问答整理, 博文地址: https://ubuntuqa.com/article/1133.html,未经允许,请勿转载。