Apa dampak ransomware “Wanna Cry” yang mungkin terjadi pada pengguna Linux?

64

Perlu diketahui bahwa ada tebusan $ 300 yang harus Anda bayar karena ransomware yang menargetkan Microsoft Windows telah mengenkripsi data Anda. Langkah apa yang harus dilindungi oleh pengguna Linux dari ini jika misalnya mereka menggunakan anggur?

Ransomware ini secara luas dilaporkan berdasarkan pada alat yang dikembangkan oleh NSA untuk meretas ke dalam komputer. Alat NSA digunakan oleh kelompok peretas yang disebut Shadow Brokers . Kode dapat ditemukan di Github .

Microsoft merilis patch ( MS17-010 ) terhadap kerentanan ini pada 14 Maret 2017. Infeksi massal dilaporkan mulai menyebar pada 14 April. Ini dibahas di sini .

Karena saya belum mem-boot Windows 8.1 dalam 6 hingga 8 minggu, dapatkah saya menerapkan tambalan ini dari Ubuntu tanpa mem-boot Windows terlebih dahulu? (Setelah penelitian, ClamAV dapat melaporkan kerentanan dari sisi Linux untuk melihat partisi Windows, tetapi tidak mungkin itu dapat menerapkan patch. Metode terbaik adalah reboot ke Windows dan menerapkan patch MS17-010.)

Individu dan perusahaan kecil yang berlangganan Pembaruan Otomatis Microsoft tidak terinfeksi. Organisasi yang lebih besar yang menunda menerapkan tambalan saat diuji terhadap intranet organisasi lebih mungkin terinfeksi.

Pada 13 Mei 2017, Microsoft mengambil langkah luar biasa untuk merilis patch untuk Windows XP yang tidak didukung selama 3 tahun.

Tidak ada kata jika anggur melakukan sesuatu tentang pembaruan keamanan. Dilaporkan dalam komentar di bawah ini bahwa Linux dapat terinfeksi juga ketika pengguna menjalankan anggur .

Sebuah "kebetulan pahlawan" mendaftarkan nama domain yang bertindak sebagai kill-switch ke ransomware tersebut. Saya kira domain yang tidak ada digunakan oleh para peretas di intranet pribadi mereka sehingga mereka tidak menginfeksi diri mereka sendiri. Lain kali mereka akan lebih pintar jadi jangan mengandalkan kill-switch saat ini. Menginstal patch Microsoft, yang mencegah mengeksploitasi kerentanan dalam protokol SMBv1, adalah metode terbaik.

Pada 14 Mei 2017 Red Hat Linux mengatakan mereka tidak terpengaruh oleh ransomware "Wanna Cry". Ini mungkin menyesatkan pengguna Ubuntu bersama dengan pengguna Red Hat, CentOS, ArchLinux dan Fedora. Red Hat mendukung anggur yang jawabannya di bawah ini dapat dilakukan. Pada dasarnya Ubuntu dan pengguna distro Linux lain yang googling masalah ini mungkin menyesatkan oleh jawaban Dukungan Red Hat Linux di sini .

15 Mei 2017 Pembaruan. Selama 48 jam terakhir Microsoft merilis patch yang disebut KB4012598 untuk Windows 8, XP, Vista, Server 2008 dan Server 2003 untuk melindungi dari ransomware "Wanna Cry". Versi Windows ini tidak lagi pada pembaruan otomatis. Meskipun saya menerapkan pembaruan keamanan MS17-010 pada platform Windows 8.1 saya kemarin, Laptop Vista lama saya masih perlu patch KB4012598 diunduh dan diterapkan secara manual.


Catatan Moderator: Pertanyaan ini bukan di luar topik - pertanyaan tentang apakah pengguna Linux perlu melakukan langkah apa pun untuk melindungi terhadap risiko.

Ini sempurna pada topik di sini, karena relevan dengan Linux (yang merupakan Ubuntu), dan juga relevan untuk pengguna Ubuntu yang menjalankan Wine atau lapisan kompatibilitas yang serupa, atau bahkan VM pada mesin Linux Ubuntu mereka.

WinEunuuchs2Unix
sumber
1
"VBA yang mana LibreOffice mulai mendukung dalam versi beta?" menarik. Bisakah Anda menambahkan tautan ke sana? Apakah itu akan membantu.libreoffice.org/Common/VBA_Properties ?
DK Bose
1
@DKKira saya menambahkan tautan dan menghapus referensi "beta". IIRC VBA didukung tetapi dengan keterbatasan. Secara pribadi saya hanya menggunakan BASIC asli LO.
WinEunuuchs2Unix
4
Harap ulangi "pertanyaan" Anda untuk menghindari implikasi ransomware adalah produk Microsoft (Anda terus menggunakan Microsoft untuk menunjukkan posesif). Ini adalah serangan yang menargetkan produk Microsoft.
dobey
2
Bukankah ini harus di Unix dan Linux karena itu bukan spesifik Ubuntu?
Ceda EI
2
nah ada jalan. Anda dapat mengunduh tambalan, menyimpannya di partisi Windows, memutuskan koneksi dari jaringan dan reboot pada Windows untuk menginstalnya sebelum menghubungkan jaringan lagi.
Carlos Manuel Escalona Villeda

Jawaban:

57

Jika itu membantu dan melengkapi jawaban Rinzwind , pertama-tama pertanyaan:

1. Bagaimana penyebarannya?

Melalui email. 2 teman terpengaruh olehnya. Mereka mengirim email kepada saya untuk menguji di bawah lingkungan yang diawasi, jadi pada dasarnya Anda perlu membuka email, mengunduh lampiran dan menjalankannya. Setelah kontaminasi awal, secara sistematis akan memeriksa jaringan untuk melihat siapa lagi yang dapat terpengaruh.

2. Bisakah saya terpengaruh dengan menggunakan Wine?

Jawaban singkat: Ya. Karena Wine mengemulasi hampir setiap perilaku lingkungan Windows, worm tersebut sebenarnya dapat mencoba menemukan cara bagaimana hal itu dapat mempengaruhi Anda. Skenario kasus terburuk adalah tergantung pada akses langsung anggur ke sistem Ubuntu Anda, beberapa atau semua bagian rumah Anda akan terpengaruh (Tidak sepenuhnya menguji ini. Lihat jawaban 4 di bawah), walaupun saya melihat banyak hambatan di sini untuk bagaimana worm berperilaku dan bagaimana ia akan mencoba untuk mengenkripsi partisi / file non ntfs / fat dan apa izin non-super admin yang diperlukan untuk melakukan ini, bahkan berasal dari Wine, sehingga tidak memiliki kekuatan penuh seperti pada Windows. Bagaimanapun, lebih baik bermain di sisi yang aman untuk ini.

3. Bagaimana saya bisa menguji perilaku ini setelah saya mendapatkan email yang memilikinya?

Tes awal saya yang melibatkan 4 kontainer VirtualBox di jaringan yang sama berakhir dalam 3 hari. Pada dasarnya pada hari ke 0, saya terkontaminasi dengan sengaja sistem Windows 10 pertama. Setelah 3 hari, semua 4 terpengaruh dan dienkripsi dengan pesan "Whoops" tentang enkripsi. Ubuntu di sisi lain tidak pernah terpengaruh, bahkan setelah membuat folder bersama untuk semua 4 tamu yang ada di desktop Ubuntu (Di Luar Virtualbox). Folder dan file di dalamnya tidak pernah terpengaruh, jadi itu sebabnya saya ragu dengan Wine dan bagaimana ini dapat menyebar di dalamnya.

4. Apakah saya mengujinya di Wine?

Sayangnya saya lakukan (Sudah punya cadangan dan memindahkan file pekerjaan penting dari desktop sebelum melakukannya). Pada dasarnya, desktop dan folder musik saya hancur. Namun itu tidak mempengaruhi folder yang saya miliki di drive lain, mungkin karena itu tidak dipasang pada saat itu. Sekarang sebelum kita terbawa suasana, aku memang perlu menjalankan anggur sebagai sudo agar ini berfungsi (aku tidak pernah menjalankan anggur dengan sudo). Jadi dalam kasus saya, bahkan dengan sudo, hanya desktop dan folder musik (untuk saya) yang terpengaruh.

Perhatikan bahwa Wine memiliki fitur Integrasi Desktop di mana, bahkan jika Anda mengubah drive C: ke sesuatu di dalam folder Wine (Alih-alih drive default c), itu masih dapat mencapai folder Home Linux Anda karena memetakan ke Anda folder home untuk dokumen, video, unduh, menyimpan file game, dll. Ini perlu dijelaskan karena saya mengirim video tentang pengguna yang menguji WCry dan dia mengubah Drive C menjadi "drive_c" yang ada di dalam ~ / .wine folder tetapi dia masih terpengaruh pada folder rumah.

Rekomendasi saya jika Anda ingin menghindari atau setidaknya mengurangi dampak pada folder rumah Anda saat menguji dengan anggur adalah dengan cukup menonaktifkan folder berikut dengan mengarahkannya ke folder kustom yang sama di dalam lingkungan anggur atau ke folder palsu tunggal di tempat lain.

masukkan deskripsi gambar di sini

Saya menggunakan Ubuntu 17.04 64-Bit, partisi adalah Ext4 dan saya tidak memiliki langkah-langkah keamanan selain dari hanya menginstal Ubuntu, memformat drive dan memperbarui sistem setiap hari.

Luis Alvarado
sumber
26

Langkah apa yang harus dilindungi oleh pengguna Linux dari ini jika misalnya mereka menggunakan anggur?

Tidak ada. Yah mungkin bukan apa-apa tapi tidak ada tambahan. Aturan normal berlaku: buat cadangan data pribadi Anda secara rutin. Tes juga cadangan Anda sehingga Anda tahu bahwa Anda dapat memulihkannya saat diperlukan.

Hal yang perlu diperhatikan:

  1. Anggur bukan Windows. Jangan gunakan anggur untuk:

    1. buka email,
    2. buka tautan dropbox
    3. jelajahi web.

      Mereka 3 adalah cara ini tampaknya menyebar ke mesin. Jika Anda perlu melakukannya gunakan virtualbox dengan instalasi normal.
  2. Ini juga menggunakan enkripsi dan mengenkripsi di Linux jauh lebih sulit daripada di Windows. Jika malware ini dapat menyentuh sistem Linux Anda, paling buruk file pribadi Anda di komputer Anda $hometerganggu. Jadi kembalikan cadangan jika itu terjadi.


Tidak ada kata jika anggur melakukan sesuatu tentang pembaruan keamanan.

Ini bukan masalah anggur. "Memperbaiki" ini berarti Anda harus menggunakan komponen Windows yang telah memperbaiki ini. Atau gunakan pemindai virus dalam anggur yang dapat menemukan malware ini. Anggur itu sendiri tidak dapat menyediakan segala bentuk perbaikan.

Sekali lagi: meskipun anggur dapat digunakan sebagai vektor serangan Anda masih perlu melakukan hal-hal sebagai pengguna Anda tidak boleh melakukan dari anggur untuk terinfeksi: Anda perlu menggunakan anggur untuk membuka situs web jahat, tautan berbahaya dalam surat. Anda seharusnya tidak pernah melakukannya karena anggur tidak datang dengan segala bentuk perlindungan virus. Jika Anda perlu melakukan hal-hal seperti itu, Anda harus menggunakan windows di virtualbox (dengan perangkat lunak dan pemindai virus terkini).

Dan ketika Anda terinfeksi anggur: itu hanya akan memengaruhi file milik Anda. Anda /home. Jadi Anda memperbaikinya dengan menghapus sistem yang terinfeksi dan mengembalikan cadangan yang sudah kita buat. Itu dari sisi Linux.

Oh, ketika pengguna 'tidak begitu pintar' dan menggunakan sudodengan anggur itu adalah masalah USER. Bukan anggur.

Jika ada: Saya sendiri sudah menentang menggunakan anggur untuk apa pun. Menggunakan dual boot tanpa interaksi antara linux dan windows atau menggunakan virtualbox dengan Windows yang mutakhir dan menggunakan pemindai virus jauh lebih unggul dari apa pun yang dapat ditawarkan anggur.


Beberapa perusahaan yang terkena dampak ini:

  • Telephonica.
  • Fedex.
  • Layanan Kesehatan Nasional (Inggris).
  • Deutsche Bahn (Kereta Api Jerman).
  • Q-park (Eropa. Layanan parkir).
  • Renault.

Semua digunakan sistem Windows XP dan Windows 7 yang belum ditambal. Baddest adalah NHS. Mereka menggunakan Windows pada perangkat keras di mana mereka tidak dapat memutakhirkan sistem operasi (...) dan harus meminta pasien untuk berhenti datang ke rumah sakit dan menggunakan nomor alarm umum sebagai gantinya.

Sampai sekarang belum satu mesin pun yang menggunakan Linux atau satu mesin yang menggunakan anggur terinfeksi. Bisakah itu dilakukan? Ya (bahkan "mungkin"). Tetapi dampaknya mungkin satu mesin dan tidak memiliki efek cascading. Mereka akan membutuhkan kata sandi admin kami untuk itu. Jadi "kita" tidak begitu menarik bagi peretas itu.

Jika ada yang perlu dipelajari dari ini ... berhenti menggunakan Windows untuk aktivitas surat dan internet umum di server perusahaan . Dan tidak, scanner virus BUKAN alat yang tepat untuk ini: pembaruan untuk virusscanners dibuat SETELAH virus ditemukan. Sudah terlambat.

Sandbox Windows: jangan izinkan berbagi. Perbarui mesin-mesin itu. -Beli- sistem operasi baru ketika Microsoft dapat versi. Jangan gunakan perangkat lunak bajakan. Sebuah perusahaan yang masih menggunakan Windows XP meminta ini terjadi.


Kebijakan perusahaan kami:

  • Gunakan Linux.
  • Jangan gunakan saham.
  • Gunakan kata sandi aman dan jangan menyimpan kata sandi di luar brankas.
  • Gunakan surat online.
  • Gunakan penyimpanan online untuk dokumen.
  • Hanya gunakan Windows di dalam virtualbox untuk hal-hal yang tidak dapat dilakukan Linux. Kami memiliki beberapa VPN yang digunakan klien kami yang hanya untuk Windows. Anda dapat menyiapkan vbox dan menyalinnya ketika Anda memiliki semua perangkat lunak di dalamnya yang Anda perlukan.
  • Sistem Windows yang digunakan di dalam perusahaan kami (notebook pribadi misalnya) tidak diizinkan di jaringan perusahaan.
Rinzwind
sumber
Ya, aturan normal berlaku: buat cadangan data pribadi Anda secara rutin. Tes juga cadangan Anda sehingga Anda tahu bahwa Anda dapat memulihkannya saat diperlukan.
sudodus
2
Dikonfirmasi melalui seorang teman di perusahaan keamanan siber saya: Wine bisa menjadi vektor infeksi, jika sistem file Anda dibagikan secara tidak aman dengan pemasangan drive virtual Wine. Walaupun itu jahat dan langka, orang yang menggunakan Wine harus ekstra hati-hati, dan mereka yang tidak menggunakan Wine harus tidak terlalu khawatir (tapi masih berhati-hati - Akal Sehat tentu saja berlaku di sini)
Thomas Ward
Apakah malware hanya mengenkripsi file lokal? Bagaimana jika saya memiliki saham samba dan memasangnya di komputer Windows? Apakah file akan dienkripsi pada drive jaringan juga? Ada juga risiko lain. Kerentanan telah ditemukan, di mana pengguna tidak perlu membuka dan menjalankan lampiran. Cukuplah bahwa scanner jendela malware scan file khusus dibuat ( pcworld.com/article/3195434/security/... , technet.microsoft.com/en-us/library/security/4022344 ), Untungnya, ada patch.
tidak ada yang
1
@ WinEunuuchs2Unix ide umumnya adalah mengembalikannya. Ke lokasi lain maka file Anda saat ini.
Rinzwind
15

Malware ini tampaknya menyebar dalam dua langkah:

  • Pertama, melalui lampiran email yang baik: pengguna Windows menerima email dengan executable terlampir dan menjalankannya. Tidak ada kerentanan Windows yang terlibat di sini; hanya ketidakmampuan pengguna dalam menjalankan yang dapat dieksekusi dari sumber yang tidak terpercaya (dan mengabaikan peringatan dari perangkat lunak antivirus mereka, jika ada).

  • Kemudian ia mencoba menginfeksi komputer lain di jaringan. Di situlah kerentanan Windows berperan: jika ada mesin yang rentan di jaringan, maka malware dapat menggunakannya untuk menginfeksi mereka tanpa tindakan pengguna .

Secara khusus, untuk menjawab pertanyaan ini:

Karena saya belum mem-boot Windows 8.1 dalam 6 hingga 8 minggu, dapatkah saya menerapkan tambalan ini dari Ubuntu tanpa mem-boot Windows terlebih dahulu?

Anda hanya dapat terinfeksi melalui kerentanan ini jika sudah ada mesin yang terinfeksi di jaringan Anda. Jika bukan itu masalahnya, aman untuk mem-boot Windows yang rentan (dan langsung menginstal pembaruan).

Ini juga berarti, dengan menggunakan, bahwa menggunakan mesin virtual tidak berarti Anda bisa ceroboh. Terutama jika terhubung langsung ke jaringan (bridged networking), mesin virtual Windows berperilaku seperti mesin Windows lainnya. Anda mungkin tidak terlalu peduli jika terinfeksi, tetapi juga dapat menginfeksi mesin Windows lainnya di jaringan.

fkraiem
sumber
Secara khusus patch Anda ingin menerapkan adalah MS17-010sebagai per: symantec.com/connect/blogs/... github.com/RiskSense-Ops/MS17-010 dan renditioninfosec.com/2017/05/...
WinEunuuchs2Unix
0

Berdasarkan apa yang semua orang tulis dan bicarakan tentang subjek ini:

WannaCrypt ransomware tidak dikodekan untuk berfungsi pada OS selain Windows (tidak termasuk Windows 10) karena didasarkan pada NSA Eternal Blue exploit, yang memanfaatkan pelanggaran keamanan Windows.

Menjalankan Wine di Linux tidak aman, tetapi Anda dapat menginfeksi diri sendiri jika Anda menggunakan perangkat lunak ini untuk mengunduh, bertukar email dan menjelajah web. Wine memang memiliki akses ke banyak jalur folder / home Anda, yang memungkinkan malware ini mengenkripsi data Anda dan "menginfeksi" Anda dengan beberapa cara.

Secara singkat: Kecuali jika penjahat cyber secara sengaja mendesain WannaCrypt untuk mempengaruhi OS berbasis Debian (atau distro Linux lainnya) Anda tidak perlu khawatir tentang hal ini sebagai pengguna Ubuntu, meskipun sehat untuk menjaga diri Anda tetap sadar pada thread cyber.

Dorian
sumber
Sophos menyediakan akses pada antivirus linux yang gratis untuk tujuan non-komersial. Meskipun saya belum melihat, saya berharap itu telah diperbarui untuk ransomware ini. sophos.com/en-us/products/free-tools/…
Tandai
Sophos berjalan pada commandline dengan antarmuka manual. Maksud saya adalah program aktual yang mampu menjalankan sendiri dan memindai file sendiri, tanpa pengguna perlu menjalankan pemindaian. Jadi, ketika ancaman terdeteksi, perangkat lunak dapat memperingatkan Anda dan menanyakan apa yang harus Anda lakukan.
Dorian
Itulah yang secara eksplisit "akses". Itu persis seperti yang Anda gambarkan.
Tandai
Saya harus buta atau benar-benar noob jika saya tidak pernah berhasil menjalankan deamon Sophos yang berfungsi. Bisakah Anda memberi tahu saya caranya?
Dorian
1
Saya senang membantu sejauh yang saya bisa. Jangan khawatir tentang tidak menjadi ahli - kita semua berada di jalur pembelajaran kita sendiri. Berikut ini ada dokumentasi tentang cara menginstal: sophos.com/en-us/medialibrary/PDFs/documentation/… Ini ditulis dengan sangat baik. Jika Anda mengalami kesulitan membuang utas baru dan mengirim saya pesan untuk memastikan saya melihat posting Anda. HTH
Tandai