Apakah mungkin, atau hanya menyebar melalui mesin Windows yang melayani lebih dari SMB?
Jika Linux melayani melalui SMB dapat menyebarkan wannacrypt, apa pendekatan yang harus diambil?
linux
server-message-block
malware
smbfs
fredrik
sumber
sumber
Jawaban:
Secara umum setiap ransomware dapat mengenkripsi apa pun yang dapat diakses oleh pengguna yang terinfeksi, seperti malware lain yang dapat menulis ke mana saja menggunakan izin akun yang menjalankannya. Itu tidak sama dengan menjadi aktif untuk pengguna lain, tetapi dapat memengaruhi semua saham yang dapat diakses pengguna.
Penanggulangan:
Cegah dengan perlindungan virus & firewall, seperti biasa.
Paksa semua klien untuk menginstal pembaruan secara teratur.
Cadangan adalah cara paling ampuh untuk menangani semua ransomware setelah infeksi. Akhirnya beberapa pengguna Anda akan memiliki satu yang belum dikenali oleh perlindungan virus Anda. Punya cadangan yang tidak dapat diakses oleh pengguna Anda. Kalau tidak, cadangan tidak akan berguna, karena ransomware juga memiliki akses yang sama untuk menulis melalui cadangan.
Pencadangan offline adalah cara paling aman untuk mencapai hal ini, tetapi mungkin tidak terlalu praktis karena Anda perlu melakukan lebih banyak secara manual, dan ingatlah untuk melakukannya secara teratur.
Saya biasanya memiliki mesin independen yang menggunakan kredensial terpisah untuk mengakses lokasi yang akan dicadangkan. Di sana, saya memiliki cadangan tambahan yang dapat menyimpan perubahan apa pun selama beberapa minggu atau bulan. Ini baik terhadap kesalahan ransomware dan pengguna.
WannaCry menggunakan kerentanan dalam implementasi SMB untuk Windows: protokolnya sendiri tidak rentan. Dari artikel berita di MalwareLess :
Patch yang disebutkan adalah MS17-010 , Pembaruan Keamanan untuk Microsoft Windows SMB Server ( 4013389 ):
Karena itu, itu tidak mempengaruhi Linux. Windows juga aman setelah menginstal pembaruan. Namun, jika masih ada komputer klien dengan Windows yang tidak ditambal, data tentang pembagian mungkin tidak aman.
sumber
Ditemukan ini, meskipun tidak ada sumber yang disediakan untuk mendukung klaim:
sumber
Tidak, tetapi jika Anda khawatir ...
Hal lain yang harus dilakukan adalah menonaktifkan kemampuan klien untuk menghubungkan port keluar TCP 137, 139 dan 445, dan UDP 137, 138 ke WAN pada router Anda.
Dengan cara ini Anda mencegah PC Anda terhubung ke server SMB non-LAN. Anda juga harus menggunakan firewall Windows untuk mencegah SMB publik / swasta dan memungkinkan komunikasi hanya domain untuk rentang subnet Anda jika Anda bisa.
Instal pembaruan dan nonaktifkan SMB 1.0 jika memungkinkan. Anda seharusnya tidak perlu khawatir jika Anda melakukan ini.
sumber