“Wanna Cry” Ransomware'in Linux kullanıcıları üzerindeki olası etkisi nedir?


64

Microsoft Windows'u hedef alan fidye yazılımı verilerinizi şifrelediği için ödemeniz gereken 300 dolarlık bir fidye olduğu ortaya çıktı. Linux kullanıcılarının, örneğin şarap kullanıyorlarsa bundan korunmak için hangi adımları atmaları gerekir?

Bu fidye yazılımı, NSA'nın bilgisayarları kırmak için geliştirdiği bir araca dayandığı bildiriliyor. NSA aracı, Shadow Brokers adlı bir hacker grubu tarafından kullanıldı . Kod Github'da bulunabilir .

Microsoft , 14 Mart 2017 tarihinde bu güvenlik açığına karşı bir düzeltme eki ( MS17-010 ) yayımladı . Toplu enfeksiyonun 14 Nisan'da yayılmaya başladığı bildiriliyor. Bu burada tartışılmaktadır .

Windows 8.1'i 6 ila 8 haftada başlatmadığım için bu yamayı ilk önce Windows'u başlatmadan Ubuntu'dan uygulayabilir miyim? (Araştırmadan sonra, ClamAV, Linux tarafındaki Windows bölümünü inceleyen güvenlik açığını bildirebilir, ancak düzeltme ekini uygulaması olası değildir. En iyi yöntem Windows'a yeniden başlayıp MS17-010 düzeltme ekini uygulamak olacaktır.)

Microsoft Otomatik Güncelleştirmeleri'ne abone olan bireyler ve küçük şirketler etkilenmez. Kuruluş intranetlerine karşı test edildiklerinde uygulama yamalarını geciktiren daha büyük kuruluşların virüs bulaştırması daha olasıdır.

13 Mayıs 2017'de, Microsoft, 3 yıl boyunca desteklenmeyen Windows XP için bir düzeltme eki yayınlama konusunda olağanüstü bir adım attı.

Şarap güvenlik güncellemesiyle ilgili bir şey yapıyorsa haber yok. Aşağıdaki yorumda, kullanıcıların şarap kullandıklarında Linux'un da bulaşabileceği bildirildi .

Bir "tesadüfi kahraman" , fidye yazılımına öldürme anahtarı olarak davranan bir alan adını tescil etti. Var olmayan alan adının bilgisayar korsanları tarafından kendi özel intranetlerinde kullanıldığını ve bu nedenle kendilerine bulaşmadıklarını tahmin ediyorum. Bir dahaki sefere daha akıllı olacaklar, bu yüzden bu güncel öldürme anahtarına güvenmeyin. SMBv1 protokolünde bir güvenlik açığından yararlanılmasını önleyen Microsoft düzeltme ekini yüklemek en iyi yöntemdir.

14 Mayıs 2017'de Red Hat Linux, "Wanna Cry" ransomware yazılımından etkilenmediklerini söyledi. Bu, Ubuntu kullanıcılarını Red Hat, CentOS, ArchLinux ve Fedora kullanıcıları ile yanlış yönlendirebilir. Red Hat aşağıdaki cevapların etkilenebileceğini teyit eden şarabı destekler. Özünde Ubuntu ve bu sorunu googling diğer Linux dağıtımı kullanıcılar Red Hat Linux Desteği cevap saptırmak olabilir burada .

15 Mayıs 2017 Güncellemesi. Son 48 saat içinde Microsoft , Windows 8, XP, Vista, Server 2008 ve Server 2003 için "Wanna Cry" fidye yazılımına karşı koruma sağlamak için KB4012598 adlı yamaları yayımladı . Bu Windows sürümleri artık otomatik güncellemelerde bulunmuyor. Dün Windows 8.1 platformumda MS17-010 güvenlik güncellemesini uygulasam da, eski Vista Dizüstü bilgisayarımın hala KB4012598 numaralı yamayı indirmesi ve manuel olarak uygulaması gerekiyor.


Moderatör notu: Bu soru konu dışı değil - herhangi bir Linux kullanıcısının riske karşı korunma konusunda herhangi bir adım atması gerekip gerekmediğini soruyor.

Buradaki konu mükemmel, çünkü Linux (Ubuntu'nun) olduğu ve Ubuntu Linux makinelerinde Wine veya benzeri uyumluluk katmanları veya hatta VM'leri çalıştıran Ubuntu kullanıcıları için de geçerli.


1
İnternethaber.com "VBA hangi LibreOffice'i beta olarak desteklemeye başlıyor?" ilginç. Lütfen buna bir link ekler misiniz? O olur help.libreoffice.org/Common/VBA_Properties ?
DK Bose

1
@DKBose Bağlantıyı ekledim ve "beta" referansını kaldırdım. IIRC VBA desteklenir, ancak sınırlamaları vardır. Şahsen ben sadece LO’nun yerel BASIC’ini kullandım.
WinEunuuchs2Unix

4
Fidye yazılımının bir Microsoft ürünü olduğunu ima etmemek için lütfen "sorunuzu" yeniden yazın ( mülkiyeti belirtmek için sürekli olarak Microsoft'u kullanıyorsunuz ). Bunun yerine bir Microsoft ürününü hedef alan bir saldırıdır.
dobey,

2
Ubuntu'ya özel olmadığı için Unix ve Linux'ta olmamalı mı?
Ceda EI

2
peki bir yolu var. Yamayı indirebilir, Windows bölümünde depolayabilir, ağ bağlantısını kesebilir ve ağa tekrar bağlanmadan önce yüklemek için Windows'u yeniden başlatabilirsiniz.
Carlos Manuel Escalona Villeda

Yanıtlar:


57

Eğer yardım eder ve Rinzwind'in cevabını tamamlarsa , önce sorular:

1. Nasıl yayılır?

E-posta yoluyla. 2 arkadaş bundan etkilendi. Denetlenen bir ortamda test etmek için e-postayı bana gönderiyorlar, bu nedenle temel olarak e-postayı açmanız, eki indirmeniz ve çalıştırmanız gerekir. İlk kirlenmeden sonra, başka kimlerin etkilenebileceğini görmek için sistematik olarak ağ kontrol edilir.

2. Wine kullanarak etkilenebilir miyim?

Kısa cevap: Evet. Wine, Windows ortamının hemen hemen her davranışını taklit ettiğinden, solucan aslında sizi nasıl etkileyebileceği konusunda yollar bulabilir. En kötü durum senaryosu, doğrudan şarabın Ubuntu sisteminize doğrudan bağlı olmasına bağlı olarak, evinizin bir kısmının veya tamamının etkilenmesidir (Bunu tam olarak test etmedim. Aşağıdaki 4 numaralı cevaba bakınız). solucan nasıl davranır ve ntfs / fat bölümünü / dosyalarını şifrelemeye nasıl çalışır ve süper-olmayan yönetici izninin, Wine'dan geldiğinde bile, bunu yapmak zorunda kalacağı Windows'ta olduğu gibi tam güçleri yoktur. Her durumda, bunun için güvenli tarafta oynamak daha iyidir.

3. Bir e-posta aldığımda bunun davranışını nasıl test edebilirim?

Aynı ağ üzerinde 4 VirtualBox konteyneri içeren ilk testim 3 gün içinde sona erdi. Temelde 0. Günde, ilk Windows 10 sistemini bilerek bulaştırdım. 3 gün sonra, 4'ü de etkilendi ve şifreleme ile ilgili "Whoops" mesajı ile şifrelendi. Diğer yandan Ubuntu, Ubuntu masaüstündeki (Virtualbox dışında) 4 misafirin tümü için paylaşılan bir klasör oluşturduktan sonra bile hiç etkilenmedi. Klasör ve içindeki dosyalar hiç etkilenmedi, bu yüzden Wine ile ilgili şüphelerim var ve bunun nasıl yayılabileceği.

4. Wine'da test ettim mi?

Ne yazık ki yaptım (Zaten bir yedekleme vardı ve kritik iş dosyalarını bunu yapmadan önce masaüstünden taşıdım). Temel olarak, masaüstüm ve müzik klasörüm mahkum edildi. Ancak, başka bir sürücüde sahip olduğum klasörü etkilemedi, çünkü o sırada takılı değildi. Şimdi taşınmadan önce, bunun çalışması için sudo gibi şarap kullanmam gerekti (sudo ile asla şarap içmem). Yani benim durumumda, sudo ile bile, sadece masaüstünden ve müzik klasöründen (benim için) etkilendi.

Wine'ın, C: sürücüsünü Wine klasörü içindeki bir şeye değiştirseniz bile (varsayılan sürücü yerine c), Linux Ana Klasörünüze haritanızla eşleştiği için erişebileceğini unutmayın. belgeler, videolar, indirme, oyun dosyalarını kaydetme vb. için ana klasör. WCry test eden bir kullanıcı hakkında bir video gönderdiğimden beri açıklanması gerekiyor ve C Drive'ı ~ / .wine içindeki "drive_c" olarak değiştirdi. Klasör ama hala ana klasörde etkilendi.

Şarapla test ederken ana klasörünüz üzerindeki etkiyi önlemek veya en azından azaltmak istiyorsanız, aşağıdaki klasörleri, şarap ortamındaki aynı özel klasöre veya başka bir yerde tek bir sahte klasöre işaret ederek devre dışı bırakmanız önerilir.

görüntü tanımını buraya girin

Ubuntu 17.04 64-Bit kullanıyorum, bölümler Ext4'dür ve yalnızca Ubuntu'yu kurmak, sürücüleri biçimlendirmek ve sistemi her gün güncellemekten başka hiçbir güvenlik önlemim yok.


26

Linux kullanıcılarının, örneğin şarap kullanıyorlarsa bundan korunmak için hangi adımları atmaları gerekir?

Hiçbir şey değil. Belki de fazladan hiçbir şey değil. Normal kurallar geçerlidir: kişisel verilerinizi düzenli olarak yedekleyin. Ayrıca yedeklerinizi sınayın, böylece gerektiğinde geri yükleyebileceğinizi bilirsiniz.

Dikkat edilecek şeyler:

  1. Şarap Windows değil. Şarabı kullanmayın:

    1. açık postalar,
    2. dropbox bağlantılarını aç
    3. web’de gezin.

      Bu 3, bunun makinelere yayıldığı görülmektedir. Bunu yapmanız gerekiyorsa, sanal bir kurulumu normal bir kurulumla kullanın.
  2. Ayrıca şifreleme kullanır ve Linux'ta şifreleme, Windows'takinden çok daha zordur. Bu kötü amaçlı yazılım Linux sisteminize dokunabilecekse, en kötüsü içindeki kişisel dosyalarınız $hometehlikeye girer. Öyleyse, bu gerçekleşirse sadece bir yedeği geri yükle.


Şarap güvenlik güncellemesiyle ilgili bir şey yapıyorsa haber yok.

Bu bir şarap problemi değil. Bu "Düzeltme", bu düzeltilmiş Windows bileşenlerini kullanmanız gerektiği anlamına gelir. Ya da bu kötü amaçlı yazılımı bulabilen şarapta bir virüs tarayıcı kullanın. Şarabın kendisi herhangi bir düzeltme sağlayamaz.

Yine: şarap saldırı vektörü olarak kullanılabilmesine rağmen, virüs bulaşmak için şarabın yapmaması gereken bir kullanıcı olarak hala yapmanız gereken bir şey var: Kötü amaçlı bir web sitesi açmak için şarabı kullanmanız gerekiyor, postada kötü amaçlı bir bağlantı. Hiç bir zaman bunu yapmamalısınız , çünkü şarap herhangi bir virüs koruması ile birlikte gelmez. Böyle şeyler yapmanız gerekiyorsa, sanal bir kutudaki pencereleri kullanıyor olmalısınız (güncel yazılım ve virüs tarayıcı ile).

Ve şarabınıza bulaştığınız zaman: bu sadece sizin olan dosyaları etkileyecektir. Senin /home. Böylece, virüslü sistemi silerek ve zaten yaptığımız yedeği geri yükleyerek düzeltiyorsunuz. Linux tarafında budur.

Bir kullanıcı 'o kadar akıllı değil' ve sudoşarapla birlikte kullanıldığı zaman, bu KULLANICI'nın sorunudur. Şarap değil

Bir şey varsa: Ben zaten bir şey için şarap kullanmaya karşıyım. Linux ve pencereler arasında etkileşimi olmayan bir çift önyükleme kullanmak veya güncel bir Windows'a sahip sanal bir kutu kullanmak ve bir virüs tarayıcı kullanmak şarapların sunabileceğinden çok daha üstündür.


Bu durumdan etkilenen şirketlerden bazıları:

  • Telefónica.
  • Fedex.
  • Ulusal Sağlık Hizmetleri (İngiltere).
  • Deutsche Bahn (Alman Demiryolu).
  • Q-park (Avrupa. Park servisi).
  • Renault.

Tüm yamalı Windows XP ve Windows 7 sistemlerini kullandı. En kötüsü NHS idi. İşletim sistemlerini yükseltemedikleri (...) donanımda Windows'u kullanıyorlar ve hastalardan hastanelere gelmeyi bırakmasını ve bunun yerine genel alarm numarasını kullanmasını istiyorlar.

Henüz Linux kullanan tek bir makine veya şarabın kullanıldığı tek bir makine bulaşmamışsa. Yapılabilir mi? Evet ("muhtemelen" bile değil). Ancak bu etki muhtemelen tek bir makine olacak ve basamaklı bir etki yaratmayacaktı. Bunun için yönetici şifremize ihtiyaçları olacaktı. Yani "biz" bu bilgisayar korsanlarının ilgisini çekmiyor.

Bundan öğrenecek bir şey varsa ... Windows'u postayla ve bir şirket sunucusundaki genel internet etkinlikleriyle kullanmayı bırakın . Ve hayır, virüs tarayıcıları bunun için doğru araç DEĞİLDİR: Virüs bulunduktan sonra virüsten tarama cihazları için güncellemeler oluşturulur. Bu çok geç.

Sandbox Windows: paylaşımlara izin vermeyin. Bu makineleri güncelle. -Alıyorum - Microsoft bir sürümü kutular zaman yeni bir işletim sistemi. Korsan yazılımı kullanmayın. Hala Windows XP kullanan bir şirket bunun olmasını istiyor.


Şirket politikalarımız:

  • Linux kullanın.
  • Paylaşma kullanmayın.
  • Güvenli bir şifre kullanın ve şifreleri kasanın dışına kaydetmeyin.
  • Çevrimiçi posta kullanın.
  • Belgeler için çevrimiçi depolama alanını kullanın.
  • Linux'un yapamadığı şeyler için yalnızca Windows'u sanal kutu içinde kullanın. Müşterilerimizin yalnızca Windows olan bazı VPN'lerimiz var. Bir vbox hazırlayabilir ve ihtiyacınız olan tüm yazılıma sahip olduğunuzda kopyalayabilirsiniz.
  • Şirket ağımızda kullanılan Windows sistemlerine (örneğin kişisel defterler) şirket ağında izin verilmez.

Evet, normal kurallar geçerlidir: kişisel verilerinizi düzenli olarak yedekleyin. Ayrıca yedeklerinizi sınayın, böylece gerektiğinde onları geri yükleyebilirsiniz.
sudodus,


2
Siber güvenlik şirketimdeki bir arkadaş tarafından onaylandı: Dosya sisteminiz Wine sanal sürücü montajlarıyla güvensiz bir şekilde paylaşılıyorsa Wine , bir enfeksiyon vektörü olabilir . Bu çok kötü ve nadir olsa da, Şarap kullanan insanlar daha temkinli olmalı ve Şarap kullanmayanlar daha az endişeli olmalıdır (ama yine de temkinli - Ortak Anlama burada geçerlidir)
Thomas Ward

Kötü amaçlı yazılım yalnızca yerel dosyaları şifreler mi? Bir samba paylaşımına sahipsem ve bir Windows bilgisayarına bağlarsam ne olur? Dosyalar bir ağ sürücüsünde de şifrelenecek mi? Başka bir risk daha var. Kullanıcının eki açıp çalıştırmasına gerek olmadığı bir güvenlik açığı bulundu. Pencereler kötü amaçlı yazılım tarayıcı özel hazırlanmış bir dosya (tarar yeterli mi pcworld.com/article/3195434/security/... , technet.microsoft.com/en-us/library/security/4022344 bir yama var, Neyse ki,).
kimse

1
@ WinEunuuchs2Unix genel fikir onları geri yüklemektir. Başka bir yere, o zaman mevcut dosyalarınız.
Rinzwind,

15

Bu kötü amaçlı yazılımın iki adımda yayıldığı görülüyor:

  • İlk olarak, iyi ol 'e-posta ekleri ile: bir Windows kullanıcısı ekli bir çalıştırılabilir e-posta alır ve çalıştırır. Burada hiçbir Windows güvenlik açığı yoktur; Yalnızca güvenilir olmayan bir kaynaktan bir yürütülebilir dosyayı çalıştırmada kullanıcı bilgisizliği (ve varsa virüsten koruma yazılımlarından gelen uyarıyı dikkate almamak).

  • Sonra ağdaki diğer bilgisayarlara bulaşmaya çalışır. İşte Windows güvenlik açığı devreye giriyor: ağda güvenlik açığı bulunan makineler varsa, kötü amaçlı yazılım kullanıcılarını herhangi bir eylemde bulunmadan kendilerine bulaştırmak için kullanabilir .

Özellikle, bu soruyu cevaplamak için:

Windows 8.1'i 6 ila 8 hafta içinde başlatmadığım için bu yamayı ilk önce Windows'u başlatmadan Ubuntu'dan uygulayabilir miyim?

Ağınızda zaten virüslü bir makine varsa, bu güvenlik açığından etkilenebilirsiniz. Aksi halde, savunmasız bir Windows önyüklemesi yapmak güvenlidir (ve güncellemeyi hemen yükleyin).

Bu aynı zamanda, sanal makineleri kullanmanın dikkatsiz olabileceğiniz anlamına gelmez. Özellikle doğrudan ağa bağlıysa (köprülü ağ bağlantısı), bir Windows sanal makinesi, diğer tüm Windows makineleri gibi davranır. Virüs bulaşırsa çok umursamıyor olabilirsiniz, ancak ağdaki diğer Windows makinelerini de etkileyebilir.


Özellikle uygulamak istediğiniz yama aşağıdaki gibidir MS17-010: symantec.com/connect/blogs/… github.com/RiskSense-Ops/MS17-010 ve renditioninfosec.com/2017/05/…
WinEunuuchs2Unix

0

Bu konuyla ilgili herkesin yazdığı ve konuştuğu şeye dayanarak:

WannaCrypt Ransomware, Windows güvenlik ihlali avantajlarından yararlanan NSA Ebedi Mavi istismarına dayandığından, Windows dışındaki Windows işletim sistemlerinde (Windows 10 dahil değil) çalışmak üzere kodlanmış değildir.

Linux altında Wine'ı çalıştırmak güvenli değildir, ancak bu yazılımı indirme, e-posta alışverişi ve web'de gezinmek için kullanıyorsanız, kendinizi enfekte edebilirsiniz. Wine, / home klasör yollarınızın çoğuna erişebilir; bu kötü amaçlı yazılımın verilerinizi şifrelemesini ve bir şekilde "bulaşmasını" sağlar.

Kısaca konuşursak: Siber suçlular kasıtlı olarak Debian (ya da diğer Linux dağıtımları) tabanlı işletim sistemlerini etkilemek için WannaCrypt tasarlamadıkça, bu konuda bir Ubuntu kullanıcısı olarak endişelenmemelisiniz, ancak siber ipuçlarından haberdar olmanızın sağlıklı olmasına rağmen.


Sophos ticari olmayan amaçlar için ücretsiz erişim linux antivirüs sağlar. Bakmadığım halde, bu fidye yazılımı için güncellenmiş olmasını beklerdim. sophos.com/en-us/products/free-tools/…
Mark

Sophos, manuel bir arayüzle komut satırında çalışır. Bir tarama yapmak zorunda kalmadan, kendisini çalıştırabilen ve dosyaları tek başına tarayabilen gerçek bir program demek istedim. Böylece bir tehdit tespit edildiğinde yazılım sizi uyarabilir ve bu konuda ne yapacağınızı sorabilir.
Dorian,

Açıkça "erişimde" olan budur. Tam olarak tanımladığın şeyi yapıyor.
Mark,

Çalışan bir Sophos deamon yapmayı asla başaramazsam, kör ya da tamamen noob olmalıyım. Bana nasıl olduğunu söyleyebilir misiniz?
Dorian

1
Elimden geldiğince yardım etmekten mutluyum. Uzman olmamak konusunda endişelenmeyin - hepimiz kendi öğrenme yollarımızdayız. İşte nasıl kurulacağına dair belgeler var: sophos.com/en-us/medialibrary/PDFs/documentation/… Çok iyi yazılmış. Eğer zorluk yaşarsanız, yeni bir konu seçin ve yayınınızı gördüğümden emin olmak için bana bir mesaj gönderin. HTH
Mark
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.