Acabou de descobrir que há um resgate de US $ 300 que você deve pagar porque o ransomware direcionado ao Microsoft Windows criptografou seus dados. Quais etapas os usuários do Linux precisam proteger contra isso se, por exemplo, estiverem usando vinho?

É relatado que este ransomware é baseado em uma ferramenta desenvolvida pela NSA para invadir computadores. A ferramenta NSA foi usada por um grupo de hackers chamado Shadow Brokers . O código pode ser encontrado no Github .

A Microsoft lançou um patch ( MS17-010 ) contra esta vulnerabilidade em 14 de março de 2017. É relatado que a infecção em massa começou a se espalhar em 14 de abril. Isso é discutido aqui .

Como não inicializei o Windows 8.1 em 6 a 8 semanas, posso aplicar esse patch do Ubuntu sem inicializar o Windows primeiro? (Após a pesquisa, pode ser possível que o ClamAV possa relatar a vulnerabilidade do lado do Linux procurando na partição do Windows, mas é improvável que possa aplicar o patch. O melhor método seria reiniciar o Windows e aplicar o patch MS17-010.)

Indivíduos e pequenas empresas que assinam as Atualizações Automáticas da Microsoft não são infectadas. As organizações maiores que atrasam a aplicação de patches quando são testadas nas intranets da organização têm maior probabilidade de serem infectadas.

Em 13 de maio de 2017, a Microsoft deu o passo extraordinário de lançar um patch para o Windows XP que não é suportado há 3 anos.

Nenhuma palavra se o vinho estiver fazendo alguma coisa sobre uma atualização de segurança. Foi relatado em um comentário abaixo que o Linux também pode ser infectado quando os usuários executam o wine .

Um "herói acidental" registrou um nome de domínio que agia como um interruptor de interrupção no ransomware. Presumo que o domínio inexistente tenha sido usado pelos hackers em sua intranet privada para que eles não se infectem. Da próxima vez que eles forem mais inteligentes, não confie neste interruptor de interrupção atual. Instalar o patch da Microsoft, que impede a exploração de uma vulnerabilidade no protocolo SMBv1, é o melhor método.

Em 14 de maio de 2017, o Red Hat Linux disse que não é afetado pelo ransomware "Wanna Cry". Isso pode enganar os usuários do Ubuntu, juntamente com os usuários do Red Hat, CentOS, ArchLinux e Fedora. A Red Hat suporta vinho, cujas respostas abaixo confirmam que podem ser efetuadas. Em essência, o Ubuntu e outros usuários de distribuição Linux pesquisando essa questão no Google podem ser enganados pela resposta do Suporte do Red Hat Linux aqui .

Atualização de 15 de maio de 2017. Nas últimas 48 horas, a Microsoft lançou patches chamados KB4012598 para Windows 8, XP, Vista, Server 2008 e Server 2003 para proteger contra o ransomware "Wanna Cry". Essas versões do Windows não estão mais em atualizações automáticas. Embora eu tenha aplicado a atualização de segurança MS17-010 na minha plataforma Windows 8.1 ontem, meu antigo laptop Vista ainda precisa do patch KB4012598 baixado e aplicado manualmente.

Nota do moderador: Esta questão não está relacionada ao tópico - pergunta se algum usuário do Linux precisa ou não executar alguma etapa para se proteger contra o risco.

É perfeitamente tópico aqui, porque é relevante para o Linux (que é o Ubuntu) e também é relevante para usuários do Ubuntu que executam o Wine ou camadas de compatibilidade semelhantes, ou mesmo VMs em suas máquinas Ubuntu Linux.

Se ajudar e complementar a resposta de Rinzwind , primeiro as perguntas:

1. Como se espalha?

Via email. 2 amigos foram afetados por ele. Eles me enviam o email para testar em um ambiente supervisionado, então você basicamente precisa abrir o email, baixar o anexo e executá-lo. Após a contaminação inicial, ele verificará sistematicamente a rede para ver quem mais pode ser afetado.

2. Posso ser afetado usando o Wine?

Resposta curta: Sim. Como o Wine emula quase todo comportamento do ambiente Windows, o worm pode realmente tentar encontrar maneiras de como isso pode afetá-lo. O pior cenário é que, dependendo do acesso direto que o wine tem ao sistema Ubuntu, algumas ou todas as partes de sua casa serão afetadas (não foi totalmente testado. Veja a resposta 4 abaixo), embora eu veja muitos obstáculos aqui para como o worm se comporta e como ele tentaria criptografar uma partição / arquivos não-ntfs / fat e que permissão não-superadministradora seria necessária para fazer isso, mesmo vindo do Wine, para que ele não possua todos os poderes, como no Windows. De qualquer forma, é melhor jogar do lado seguro para isso.

3. Como posso testar o comportamento disso quando recebo um e-mail que o possui?

Meu teste inicial, que envolveu 4 contêineres do VirtualBox na mesma rede, terminou em 3 dias. Basicamente, no dia 0, contaminei de propósito o primeiro sistema Windows 10. Após três dias, todos os quatro foram afetados e criptografados com a mensagem "Ops" sobre a criptografia. O Ubuntu, por outro lado, nunca foi afetado, mesmo depois de criar uma pasta compartilhada para todos os 4 convidados que estão na área de trabalho do Ubuntu (Fora do Virtualbox). A pasta e os arquivos nela nunca foram afetados, por isso tenho minhas dúvidas com o Wine e como isso pode se propagar.

4. Eu testei no Wine?

Infelizmente, eu fiz (já tinha um backup e movi os arquivos críticos do trabalho da área de trabalho antes de fazê-lo). Basicamente, minha área de trabalho e pasta de músicas estavam condenadas. No entanto, não afetou a pasta que eu tinha em outra unidade, talvez porque não estava montada no momento. Agora, antes de nos empolgarmos, eu precisava rodar vinho como sudo para que isso funcionasse (nunca rodo vinho com sudo). Portanto, no meu caso, mesmo com o sudo, apenas a área de trabalho e a pasta de músicas (para mim) foram afetadas.

Observe que o Wine possui um recurso de integração com a área de trabalho onde, mesmo que você altere a unidade C: para algo dentro da pasta Wine (em vez da unidade padrão c), ele ainda poderá acessar a pasta Home do Linux, pois é mapeada para o seu pasta inicial para documentos, vídeos, download, salvamento de arquivos de jogos, etc. Isso precisava ser explicado desde que eu enviei um vídeo sobre um usuário testando o WCry e ele mudou o C Drive para "drive_c", que está dentro do ~ / .wine pasta, mas ele ainda foi afetado na pasta pessoal.

Minha recomendação, se você deseja evitar ou pelo menos diminuir o impacto na sua pasta pessoal ao testar com o vinho, é simplesmente desativar as seguintes pastas, apontando-as para a mesma pasta personalizada dentro do ambiente do vinho ou para uma única pasta falsa em qualquer outro lugar.

Estou usando o Ubuntu 17.04 de 64 bits, as partições são Ext4 e não tenho outras medidas de segurança além de simplesmente instalar o Ubuntu, formatar as unidades e atualizar o sistema todos os dias.

Quais etapas os usuários do Linux precisam proteger contra isso se, por exemplo, estiverem usando vinho?

Nada. Bem, talvez não seja nada, mas nada extra. As regras normais se aplicam: faça backups regulares de seus dados pessoais. Teste também seus backups para que você possa restaurá-los quando necessário.

Coisas a serem observadas:

1. Vinho não é Windows. Não use vinho para:

   1. correios abertos,
   2. abrir links da caixa de depósito
   3. pesquisar na internet.
      
      Esses três são o modo como isso parece se espalhar nas máquinas. Se você precisar fazer isso, use o virtualbox com uma instalação normal.

2. Ele também usa criptografia e criptografia no Linux é muito mais difícil do que no Windows. Se esse malware puder tocar seu sistema Linux, na pior das hipóteses, seus arquivos pessoais $homeestarão comprometidos. Portanto, basta restaurar um backup, se isso acontecer.

Nenhuma palavra se o vinho estiver fazendo alguma coisa sobre uma atualização de segurança.

Não é um problema de vinho. "Fixar" significa que você precisa usar componentes do Windows que tenham esse problema corrigido. Ou use um antivírus no wine que possa encontrar esse malware. O vinho em si não pode fornecer nenhuma forma de correção.

Novamente: mesmo que o vinho possa ser usado como vetor de ataque, você ainda precisa fazer as coisas como usuário que não deveria estar fazendo com o vinho para se infectar: ​​você precisa usar o vinho para abrir um site malicioso, um link malicioso em um email. Você nunca deve fazer isso, pois o vinho não possui nenhuma forma de proteção contra vírus. Se você precisar fazer algo assim, deverá usar o Windows em uma caixa virtual (com software e antivírus atualizados).

E quando você é infectado pelo vinho: ele afeta apenas os arquivos que são seus. O seu /home. Então, você pode corrigir isso excluindo o sistema infectado e restaurando o backup que todos já fazemos. É isso do lado do Linux.

Ah, quando um usuário 'não é tão inteligente' e usa sudocom o vinho, é problema do USUÁRIO. Não é vinho.

Se alguma coisa: eu já sou contra o uso de vinho para qualquer coisa. Usar uma inicialização dupla sem interação entre linux e windows ou usar uma caixa virtual com um Windows atualizado e usar um antivírus é muito superior a qualquer coisa que o vinho possa oferecer.

Algumas das empresas afetadas por isso:

• Telefonica.
• Fedex.
• Serviços Nacionais de Saúde (Grã-Bretanha).
• Deutsche Bahn (Ferrovia Alemã).
• Q-park (Europa. Serviço de estacionamento).
• Renault.

Todos usavam sistemas Windows XP e Windows 7 não corrigidos. Baddest foi o NHS. Eles usam o Windows em hardware onde não podem atualizar os sistemas operacionais (...) e precisavam pedir aos pacientes que parassem de vir aos hospitais e, em vez disso, usassem o número de alarme geral.

Até o momento, nem uma única máquina usando Linux ou uma única máquina usando vinho foi infectada. Isso poderia ser feito? Sim (nem mesmo "provavelmente"). Mas o impacto provavelmente seria uma máquina única e não teria um efeito em cascata. Eles precisariam da nossa senha de administrador para isso. Então "nós" temos pouco interesse para esses hackers.

Se houver algo a aprender com isso ... pare de usar o Windows para correio e atividades gerais da Internet em um servidor da empresa . E não, os antivírus NÃO são a ferramenta correta para isso: as atualizações dos antivírus são criadas APÓS o vírus ser encontrado. Isso é tarde demais.

Sandbox Windows: não permite compartilhamentos. Atualize essas máquinas. -Compre- um novo sistema operacional quando a Microsoft enlatar uma versão. Não use software pirateado. Uma empresa que ainda usa o Windows XP está pedindo que isso aconteça.

As políticas da nossa empresa:

• Use o Linux.
• Não use compartilhamentos.
• Use um cofre com senha e não salve senhas fora do cofre.
• Use correio online.
• Use armazenamento online para documentos.
• Use o Windows somente dentro do virtualbox para coisas que o Linux não pode fazer. Temos algumas VPNs que nossos clientes usam apenas Windows. Você pode preparar um vbox e copiá-lo quando tiver todo o software necessário.
• Os sistemas Windows usados ​​em nossa empresa (notebooks pessoais, por exemplo) não são permitidos na rede da empresa.

Esse malware parece se espalhar em duas etapas:

• Primeiro, através de bons e velhos anexos de email: um usuário do Windows recebe um email com um executável anexado e o executa. Nenhuma vulnerabilidade do Windows envolvida aqui; apenas ineptidão do usuário em executar um executável de uma fonte não confiável (e ignorar o aviso do software antivírus, se houver).

• Em seguida, ele tenta infectar outros computadores na rede. É aí que a vulnerabilidade do Windows entra em jogo: se houver máquinas vulneráveis ​​na rede, o malware pode usá-lo para infectá-las sem nenhuma ação do usuário .

Em particular, para responder a esta pergunta:

Como não inicializei o Windows 8.1 em 6 a 8 semanas, posso aplicar esse patch do Ubuntu sem inicializar o Windows primeiro?

Você só pode ser infectado por esta vulnerabilidade se já houver uma máquina infectada na sua rede. Se não for esse o caso, é seguro inicializar um Windows vulnerável (e instalar a atualização imediatamente).

A propósito, isso também significa que o uso de máquinas virtuais não significa que você pode ser descuidado. Especialmente se estiver diretamente conectado à rede (rede em ponte), uma máquina virtual Windows se comporta como qualquer outra máquina Windows. Você pode não se importar muito se for infectado, mas também pode infectar outras máquinas Windows na rede.

Com base no que todos já escreveram e falaram sobre esse assunto:

O ransomware WannaCrypt não está codificado para funcionar em outro sistema operacional que não o Windows (não incluindo o Windows 10) porque é baseado na exploração NSA Eternal Blue, que tira proveito de uma violação de segurança do Windows.

A execução do Wine no Linux não é insegura, mas você pode se infectar se usar este software para downloads, troca de e-mail e navegação na web. O Wine tem acesso a muitos dos caminhos da sua pasta / home, o que possibilita que esse malware criptografe seus dados e o "infecte" de alguma forma.

Em poucas palavras: a menos que os cibercriminosos projetem intencionalmente o WannaCrypt para afetar os sistemas operacionais baseados no Debian (ou em outra distribuição Linux), você não deve se preocupar com esse assunto como usuário do Ubuntu, embora seja saudável se manter ciente dos tópicos cibernéticos.