it-swarm.com.de

Welche möglichen Auswirkungen hat die Ransomware "Wanna Cry" auf Linux-Benutzer?

Es hat sich herausgestellt, dass Sie ein Lösegeld von 300 US-Dollar zahlen müssen, weil Ransomware, die auf Microsoft Windows abzielt, Ihre Daten verschlüsselt hat. Welche Schritte müssen Linux-Benutzer unternehmen, um sich davor zu schützen, wenn sie beispielsweise Wein verwenden?

Es wird allgemein berichtet, dass diese Ransomware auf einem Tool basiert, das von der NSA entwickelt wurde, um sich in Computer zu hacken. Das Tool NSA wurde von einer Hacker-Gruppe namens Shadow Brokers verwendet. Der Code kann in Github gefunden werden.

Microsoft hat am 14. März 2017 einen Patch ( MS17-010 ) gegen diese Sicherheitsanfälligkeit veröffentlicht. Die Masseninfektion soll sich seit dem 14. April ausgebreitet haben. Dies wird besprochen hier .

Kann ich diesen Patch von Ubuntu aus anwenden, ohne vorher Windows zu booten, da ich Windows 8.1 in 6 bis 8 Wochen nicht mehr gebootet habe? (Nach Recherchen ist es möglich, dass ClamAV die Sicherheitsanfälligkeit von Linux-Seite mit Blick auf die Windows-Partition meldet, aber es ist unwahrscheinlich, dass der Patch angewendet wird. Die beste Methode wäre, einen Neustart in Windows durchzuführen und den Patch MS17-010 anzuwenden.)

Einzelpersonen und kleine Unternehmen, die Microsoft Automatic Updates abonnieren, sind nicht infiziert. Größere Organisationen, die das Anwenden von Patches verzögern, da diese gegen Organisations-Intranets getestet werden, sind mit höherer Wahrscheinlichkeit infiziert.

Am 13. Mai 2017 hat Microsoft den außergewöhnlichen Schritt unternommen, einen Patch für Windows XP zu veröffentlichen, der seit 3 ​​Jahren nicht mehr unterstützt wird.

Kein Wort, wenn Wein etwas gegen ein Sicherheitsupdate unternimmt. Es wurde in einem Kommentar unten berichtet, dass Linux auch infiziert werden kann, wenn Benutzer wine ausführen.

Ein "zufälliger Held" registrierte einen Domainnamen, der als Kill-Switch für die Ransomware fungierte. Ich nehme an, dass die nicht vorhandene Domain von den Hackern in ihrem privaten Intranet verwendet wurde, damit sie sich nicht selbst infizierten. Das nächste Mal werden sie schlauer, verlassen Sie sich also nicht auf diesen aktuellen Kill-Switch. Die beste Methode ist die Installation des Microsoft-Patches, mit dem verhindert wird, dass eine Sicherheitsanfälligkeit im SMBv1-Protokoll ausgenutzt wird.

Am 14. Mai 2017 gab Red Hat Linux bekannt, dass sie nicht von der Ransomware "Wanna Cry" betroffen sind. Dies kann sowohl Ubuntu-Benutzer als auch Red Hat-, CentOS-, ArchLinux- und Fedora-Benutzer in die Irre führen. Red Hat unterstützt Wein, der durch die unten stehenden Antworten bestätigt werden kann. Im Wesentlichen könnten Ubuntu und andere Linux-Distributoren, die dieses Problem googeln, durch die Antwort des Red Hat Linux-Supports in die Irre geführt werden hier .

15. Mai 2017 Aktualisierung. In den letzten 48 Stunden hat Microsoft Patches mit dem Namen KB4012598 für Windows 8, XP, Vista, Server 2008 und Server 20 zum Schutz veröffentlicht gegen "Wanna Cry" Ransomware. Diese Windows-Versionen werden nicht mehr automatisch aktualisiert. Obwohl ich gestern das Sicherheitsupdate MS17-010 auf meiner Windows 8.1-Plattform angewendet habe, muss auf meinem alten Vista-Laptop immer noch der Patch KB4012598 heruntergeladen und manuell angewendet werden.


Hinweis für den Moderator: Diese Frage ist nicht unbeantwortet. Sie fragt, ob Linux-Benutzer Schritte zum Schutz vor dem Risiko ausführen müssen oder nicht.

Es ist hier ein perfektes Thema, da es für Linux (was Ubuntu ist) und auch für Ubuntu-Benutzer relevant ist, die Wine oder ähnliche Kompatibilitätsebenen oder sogar VMs auf ihren Ubuntu-Linux-Maschinen ausführen.

64

Wenn es hilft und zu ergänzen Rinzwinds Antwort , zuerst die Fragen:

1. Wie verbreitet es sich?

Per Email. 2 Freunde waren davon betroffen. Sie senden die E-Mail an mich, um sie in einer überwachten Umgebung zu testen. Daher müssen Sie die E-Mail grundsätzlich öffnen, den Anhang herunterladen und ausführen. Nach der anfänglichen Kontamination wird das Netzwerk systematisch überprüft, um festzustellen, wer sonst noch betroffen sein könnte.

2. Kann ich mit Wine in Mitleidenschaft gezogen werden?

Kurze Antwort: Ja. Da Wine fast jedes Verhalten der Windows-Umgebung emuliert, kann der Wurm tatsächlich versuchen, Wege zu finden, wie er sich auf Sie auswirken kann. Das schlimmste Szenario ist, dass abhängig vom direkten Zugriff von Wine auf Ihr Ubuntu-System einige oder alle Teile Ihres Hauses betroffen sind (habe dies nicht vollständig getestet. Siehe Antwort 4 unten), obwohl ich hier viele Straßensperren sehe Wie sich der Wurm verhält und wie er versuchen würde, eine Nicht-NTFS/Fat-Partition/-Dateien zu verschlüsseln, und welche Nicht-Super-Administrator-Berechtigung würde er dazu benötigen, selbst wenn er von Wine stammt, sodass er nicht die vollen Fähigkeiten wie unter Windows besitzt. In jedem Fall ist es besser, auf der sicheren Seite zu spielen.

3. Wie kann ich das Verhalten testen, wenn ich eine E-Mail erhalte, die es enthält?

Mein erster Test mit 4 VirtualBox-Containern im selben Netzwerk endete in 3 Tagen. Grundsätzlich habe ich am Tag 0 absichtlich das erste Windows 10-System kontaminiert. Nach 3 Tagen waren alle 4 betroffen und mit der "Whoops" -Nachricht über die Verschlüsselung verschlüsselt. Ubuntu hingegen war auch nach dem Erstellen eines freigegebenen Ordners für alle 4 Gäste auf dem Ubuntu-Desktop (außerhalb von Virtualbox) nicht betroffen. Der Ordner und die darin enthaltenen Dateien waren nie betroffen, daher habe ich meine Zweifel an Wine und wie sich dies darauf ausbreiten kann.

4. Habe ich es an Wein getestet?

Leider habe ich das getan (hatte bereits ein Backup und hat zuvor wichtige Jobdateien vom Desktop verschoben). Grundsätzlich waren mein Desktop und mein Musikordner zum Scheitern verurteilt. Es wirkte sich jedoch nicht auf den Ordner aus, den ich auf einem anderen Laufwerk hatte, möglicherweise weil er zu diesem Zeitpunkt nicht gemountet war. Bevor wir weggetragen werden, musste ich als Sudo Wein laufen lassen, damit das funktioniert (ich lasse niemals Wein mit Sudo laufen). In meinem Fall war sogar mit Sudo nur der Desktop und der Musikordner (für mich) betroffen.

Beachten Sie, dass Wine über eine Desktop-Integrationsfunktion verfügt, mit der Wine, auch wenn Sie das Laufwerk C: in einen Ordner im Ordner Wine ändern (anstelle des Standardlaufwerks c), weiterhin auf Ihren Linux-Basisordner zugreifen kann, da es Ihrem entspricht Home-Ordner für Dokumente, Videos, Downloads, Speichern von Spieledateien usw. Dies musste erklärt werden, da ich ein Video über einen Benutzer gesendet habe, der WCry testet, und er das C-Laufwerk in "drive_c" geändert hat, das sich im ~/.wine befindet Ordner, aber er wurde immer noch auf dem Home-Ordner betroffen.

Meine Empfehlung, wenn Sie die Auswirkungen auf Ihren privaten Ordner beim Testen mit Wein vermeiden oder zumindest verringern möchten, lautet, die folgenden Ordner einfach zu deaktivieren, indem Sie sie auf denselben benutzerdefinierten Ordner in der Weinumgebung oder auf einen einzelnen gefälschten Ordner an einer anderen Stelle verweisen.

enter image description here

Ich verwende Ubuntu 17.04 64-Bit, Partitionen sind Ext4 und ich habe keine anderen Sicherheitsmaßnahmen, als einfach Ubuntu zu installieren, die Laufwerke zu formatieren und das System jeden Tag zu aktualisieren.

57
Luis Alvarado

Welche Schritte müssen Linux-Benutzer unternehmen, um sich davor zu schützen, wenn sie beispielsweise Wein verwenden?

Nichts. Naja, vielleicht nichts, aber nichts extra. Es gelten die üblichen Regeln: Führen Sie regelmäßige Sicherungen Ihrer persönlichen Daten durch. Testen Sie auch Ihre Backups, damit Sie sie bei Bedarf wiederherstellen können.

Dinge zu beachten:

  1. Wein ist nicht Windows. Verwenden Sie keinen Wein, um:

    1. offene Mails,
    2. dropbox-Links öffnen
    3. stöbern Sie im Web.

      Diese 3 scheinen sich auf Maschinen auszubreiten. Wenn Sie dies tun müssen, verwenden Sie virtualbox bei einer normalen Installation.
  2. Es verwendet auch Verschlüsselung und Verschlüsselung unter Linux ist viel schwieriger als unter Windows. Wenn diese Malware Ihr Linux-System berühren könnte, sind im schlimmsten Fall Ihre persönlichen Dateien in Ihrem $home kompromittiert. Stellen Sie in diesem Fall einfach ein Backup wieder her.


Kein Wort, wenn Wein etwas gegen ein Sicherheitsupdate unternimmt.

Es ist kein Weinproblem. "Reparieren" bedeutet, dass Sie Windows-Komponenten verwenden müssen, für die dies behoben wurde. Oder verwenden Sie einen Virenscanner in Wine, der diese Malware findet. Wein selbst kann keine Form der Lösung bieten.

Nochmals: Auch wenn Wein als Angriffsmethode verwendet werden kann, müssen Sie als Benutzer bestimmte Aktionen ausführen, die Sie nicht ausführen sollten, um sich anzustecken. Sie müssen Wein verwenden, um eine schädliche Website zu öffnen, einen böswilligen Link in einer E-Mail. Sie sollten dies bereits nie tun, da Wein keinen Virenschutz bietet. Wenn Sie solche Dinge tun müssen, sollten Sie Windows in einer Virtualbox verwenden (mit aktueller Software und Virenscanner).

Und wenn Sie über Wein infiziert werden: Es betrifft nur Dateien, die Ihnen gehören. Dein /home. Sie beheben dies, indem Sie das infizierte System löschen und das Backup wiederherstellen, das wir alle bereits erstellt haben. Das war's von der Linux-Seite.

Oh, wenn ein Benutzer "nicht so schlau" ist und Sudo mit Wein verwendet, ist dies das Problem des BENUTZERS. Kein Wein.

Wenn überhaupt: Ich selbst bin schon dagegen, Wein für irgendetwas zu verwenden. Die Verwendung eines Dualboots ohne Interaktion zwischen Linux und Windows oder einer Virtualbox mit einem aktuellen Windows-Betriebssystem und einem Virenscanner ist den Möglichkeiten von Wine weit überlegen.


Einige der davon betroffenen Unternehmen:

  • Telephonica.
  • Fedex.
  • National Health Services (Großbritannien).
  • Deutsche Bahn.
  • Q-Park (Europa. Parkservice).
  • Renault.

Alle verwendeten nicht gepatchten Windows XP - und Windows 7-Systeme. Am schlimmsten war der NHS. Sie verwenden Windows auf Hardware, auf der sie die Betriebssysteme nicht aktualisieren können (...), und mussten die Patienten auffordern, nicht mehr in Krankenhäuser zu kommen und stattdessen die allgemeine Alarmnummer zu verwenden.

Bisher wurde noch kein einziger Rechner mit Linux oder ein einziger Rechner mit Wine infiziert. Könnte es gemacht werden? Ja (nicht einmal "wahrscheinlich"). Aber die Auswirkung wäre wahrscheinlich eine einzelne Maschine und hätte keinen Kaskadeneffekt. Dafür benötigen sie unser Administratorkennwort. Deshalb sind "wir" für diese Hacker von geringem Interesse.

Wenn irgendetwas daraus zu lernen ist ... beenden Sie die Verwendung von Windows für E-Mail- und allgemeine Internetaktivitäten auf einem Firma Server. Und nein, Virenscanner sind NICHT das richtige Werkzeug dafür: Updates für Virenscanner werden erstellt, nachdem der Virus gefunden wurde. Das ist zu spät.

Sandbox Windows: Freigaben nicht zulassen. Aktualisieren Sie diese Maschinen. -Kaufen Sie ein neues Betriebssystem, wenn Microsoft eine Version cannt. Verwenden Sie keine Raubkopien. Ein Unternehmen, das noch Windows XP verwendet, bittet darum.


Unsere Firmenrichtlinien:

  • Verwenden Sie Linux.
  • Verwenden Sie keine Freigaben.
  • Verwenden Sie einen Passwort-Safe und speichern Sie keine Passwörter außerhalb des Safes.
  • Verwenden Sie Online-Mail.
  • Nutzen Sie den Online-Speicher für Dokumente.
  • Verwenden Sie Windows nur in virtualbox, wenn Linux dies nicht kann. Wir haben einige VPNs, die von unseren Kunden nur unter Windows verwendet werden. Sie können eine vbox vorbereiten und kopieren, wenn Sie über die gesamte Software verfügen, die Sie benötigen würden.
  • Windows-Systeme, die in unserem Unternehmen verwendet werden (z. B. persönliche Notebooks), sind im Unternehmensnetzwerk nicht zulässig.
26
Rinzwind

Diese Malware scheint sich in zwei Schritten zu verbreiten:

  • Erstens über gute alte E-Mail-Anhänge: Ein Windows-Benutzer erhält eine E-Mail mit einer angehängten ausführbaren Datei und führt sie aus. Hier liegt keine Windows-Sicherheitslücke vor. Nur die Unfähigkeit des Benutzers, eine ausführbare Datei von einer nicht vertrauenswürdigen Quelle auszuführen (und die Warnung der Antivirensoftware zu ignorieren, falls vorhanden).

  • Anschließend wird versucht, andere Computer im Netzwerk zu infizieren. Hier kommt die Windows-Sicherheitsanfälligkeit ins Spiel: Wenn sich verwundbare Computer im Netzwerk befinden, kann die Malware sie damit infizieren ohne Benutzeraktion.

Um diese Frage zu beantworten:

Da ich Windows 8.1 in 6 bis 8 Wochen nicht mehr gebootet habe, kann ich diesen Patch von Ubuntu installieren, ohne vorher Windows zu booten?

Sie können durch diese Sicherheitsanfälligkeit nur infiziert werden, wenn sich bereits ein infizierter Computer in Ihrem Netzwerk befindet. Ist dies nicht der Fall, können Sie ein anfälliges Windows sicher starten (und das Update sofort installieren).

Dies bedeutet im Übrigen auch, dass die Verwendung virtueller Maschinen nicht bedeutet, dass Sie sorglos sein können. Insbesondere wenn es direkt mit dem Netzwerk verbunden ist (Bridged Networking), verhält sich eine virtuelle Windows-Maschine wie jede andere Windows-Maschine. Es ist Ihnen vielleicht egal, ob es infiziert wird, aber es kann auch andere Windows-Computer im Netzwerk infizieren.

15
fkraiem

Basierend auf dem, was alle bereits über dieses Thema geschrieben und gesprochen haben:

Die WannaCrypt-Ransomware ist nicht für andere Betriebssysteme als Windows (ohne Windows 10) codiert, da sie auf dem Eternal Blue-Exploit NSA basiert, bei dem eine Windows-Sicherheitslücke ausgenutzt wird.

Wine unter Linux auszuführen ist nicht unsicher, aber Sie können sich selbst infizieren, wenn Sie diese Software zum Herunterladen, zum E-Mail-Austausch und zum Surfen im Internet verwenden. Wine hat Zugriff auf viele Ihrer/home-Ordnerpfade, wodurch diese Malware Ihre Daten verschlüsseln und Sie auf irgendeine Weise "infizieren" kann.

Kurz gesagt: Sofern die Cyber-Kriminellen WannaCrypt nicht absichtlich für Debian (oder andere Linux-Distribution) -basierte Betriebssysteme entwickeln, sollten Sie sich als Ubuntu-Benutzer keine Sorgen um dieses Thema machen, auch wenn es sinnvoll ist, sich über Cyber-Threads auf dem Laufenden zu halten.

0
Dorian