Quel est l'impact possible du ransomware «Wanna Cry» sur les utilisateurs de Linux?

64

Il est clair que vous devez payer une rançon de 300 USD, car un ransomware ciblant Microsoft Windows a crypté vos données. Quelles étapes les utilisateurs de Linux doivent-ils protéger contre cela s'ils utilisent par exemple Wine?

Il est largement rapporté que ce ransomware est basé sur un outil développé par la NSA pour pirater des ordinateurs. L’outil NSA a été utilisé par un groupe de hackers appelé Shadow Brokers . Le code peut être trouvé dans Github .

Microsoft a publié un correctif ( MS17-010 ) contre cette vulnérabilité le 14 mars 2017. L'infection de masse aurait commencé à se répandre le 14 avril. Ceci est discuté ici .

Comme je n’ai pas démarré Windows 8.1 au bout de 6 à 8 semaines, puis-je appliquer ce correctif à partir d’Ubuntu sans démarrer Windows au préalable? (Après des recherches, il est possible que ClamAV signale la vulnérabilité du côté Linux s’appliquant à la partition Windows, mais il est peu probable qu’elle puisse appliquer le correctif. La meilleure méthode consiste à redémarrer Windows et à appliquer le correctif MS17-010.)

Les particuliers et les petites entreprises abonnés aux mises à jour automatiques de Microsoft ne sont pas infectés. Les grandes entreprises qui tardent à appliquer des correctifs, car ceux-ci sont testés sur des intranets d’organisation, sont plus susceptibles d’être infectées.

Le 13 mai 2017, Microsoft a franchi une étape extraordinaire en publiant un correctif pour Windows XP non pris en charge depuis 3 ans.

Aucun mot si wine fait quelque chose à propos d'une mise à jour de sécurité. Il a été rapporté dans un commentaire ci-dessous que Linux peut également être infecté lorsque les utilisateurs exécutent wine .

Un "héros accidentel" a enregistré un nom de domaine qui a servi d'interrupteur antidémarrage pour le logiciel de ransomware. Je suppose que le domaine inexistant a été utilisé par les pirates sur leur intranet privé, de sorte qu'ils ne se sont pas infectés. La prochaine fois, ils seront plus intelligents, alors ne vous fiez pas à ce kill-switch actuel. L'installation du correctif Microsoft, qui empêche l'exploitation d'une vulnérabilité dans le protocole SMBv1, constitue la meilleure méthode.

Le 14 mai 2017, Red Hat Linux a déclaré ne pas être affecté par le ransomware "Wanna Cry". Cela pourrait induire en erreur les utilisateurs Ubuntu ainsi que les utilisateurs Red Hat, CentOS, ArchLinux et Fedora. Red Hat prend en charge le vin dont les réponses ci-dessous confirment qu’il peut être effectué. Pour résumer, Ubuntu et les autres utilisateurs de la distribution Linux à la recherche de ce problème pourraient être induits en erreur par la réponse du support technique Red Hat Linux présentée ici .

Mise à jour du 15 mai 2017. Au cours des dernières 48 heures, Microsoft a publié les correctifs KB4012598 pour Windows 8, XP, Vista, Server 2008 et Server 2003 afin de les protéger contre le ransomware "Wanna Cry". Ces versions de Windows ne font plus l'objet de mises à jour automatiques. Bien que j'aie appliqué la mise à jour de sécurité MS17-010 sur ma plate-forme Windows 8.1 hier, mon ancien ordinateur portable Vista a toujours besoin du correctif KB4012598 téléchargé et appliqué manuellement.

Note du modérateur: cette question ne fait pas partie du sujet. Elle demande si les utilisateurs de Linux doivent ou non effectuer des opérations de protection contre les risques.

C'est parfaitement d'actualité ici, car cela concerne Linux (ce qui est Ubuntu), ainsi que pour les utilisateurs Ubuntu exécutant Wine ou des couches de compatibilité similaires, voire les ordinateurs virtuels sur leurs machines Linux Ubuntu.

windows  wine  malware 
WinEunuuchs2Unix
source
1
"VBA que LibreOffice commence à supporter en version bêta?" est intéressant. Pouvez-vous s'il vous plaît ajouter un lien à cela? Serait-ce help.libreoffice.org/Common/VBA_Properties ?
DK Bose
1
@DKBose J'ai ajouté le lien et supprimé la référence "beta". IIRC VBA est pris en charge mais avec des limitations. Personnellement, je n'ai utilisé que le BASIC natif de LO.
WinEunuuchs2Unix
4
Veuillez reformuler votre "question" pour éviter de sous-entendre que le ransomware est un produit de Microsoft (vous utilisez continuellement Microsoft pour indiquer possessif). C'est une attaque qui cible plutôt un produit Microsoft.
dobey
2
Cela ne devrait-il pas être sous Unix et Linux car ce n'est pas spécifique à Ubuntu?
Ceda EI
2
bien il y a un moyen. vous pouvez télécharger le correctif, le stocker dans la partition Windows, vous déconnecter du réseau et redémarrer sous Windows pour l'installer avant de reconnecter le réseau.
Carlos Manuel Escalona Villeda

Réponses:

57

Si cela peut aider et compléter la réponse de Rinzwind , commencez par poser les questions suivantes:

1. Comment ça se propage?

Par email. 2 amis ont été touchés par cela. Ils m'envoient l'e-mail pour qu'il soit testé dans un environnement supervisé. Vous devez donc essentiellement ouvrir l'e-mail, télécharger la pièce jointe et l'exécuter. Après la contamination initiale, il vérifiera systématiquement le réseau pour voir qui d'autre peut être affecté.

2. Puis-je être affecté en utilisant du vin?

Réponse courte: oui. Étant donné que Wine émule presque tous les comportements de l’environnement Windows, le ver peut en réalité essayer de trouver des moyens de vous affecter. Le pire des scénarios est que, en fonction de l'accès direct du vin à votre système Ubuntu, tout ou partie de votre maison sera affectée (Je n'ai pas entièrement testé cela. Voir la réponse 4 ci-dessous), bien que je vois ici de nombreux obstacles comment se comporte le ver et comment il essaierait de chiffrer une partition / des fichiers non NTFS / fat et quelle autorisation non super administrateur aurait-il besoin de faire, même en venant de Wine, de sorte qu'il ne dispose pas des pleins pouvoirs comme sous Windows. Dans tous les cas, il vaut mieux jouer du bon côté pour cela.

3. Comment puis-je tester le comportement de celui-ci une fois que je reçois un email le contenant?

Mon test initial, qui impliquait 4 conteneurs VirtualBox sur le même réseau, s'est terminé en 3 jours. Le jour 0, j'ai contaminé volontairement le premier système Windows 10. Après 3 jours, tous les 4 étaient affectés et chiffrés avec le message "Whoops" sur le chiffrement. Ubuntu, par contre, n’a jamais été affecté, même après la création d’un dossier partagé pour les 4 invités qui se trouve sur le bureau Ubuntu (en dehors de Virtualbox). Le dossier et les fichiers qu'il contient n'ont jamais été affectés, c'est pourquoi j'ai des doutes avec Wine et comment cela peut se propager.

4. Est-ce que je l'ai testé sur Wine?

Malheureusement, je l’ai fait (avant d’avoir déjà effectué une sauvegarde et déplacé des fichiers de travail critiques du bureau). Fondamentalement, mon bureau et mon dossier de musique étaient condamnés. Cependant, cela n’affectait pas le dossier que j’avais dans un autre lecteur, peut-être parce qu’il n’était pas monté à l’époque. Avant de nous laisser emporter, j'avais besoin de faire du vin en tant que sudo pour que cela fonctionne (je ne fais jamais de vin avec sudo). Donc dans mon cas, même avec sudo, seuls le bureau et le dossier de musique (pour moi) ont été affectés.

Notez que Wine a une fonctionnalité d’intégration au bureau dans laquelle, même si vous changez le lecteur C: en un élément du dossier Wine (au lieu du lecteur par défaut c), il sera toujours possible d’atteindre votre dossier Linux Home car il mappe vers votre dossier de départ pour les documents, les vidéos, le téléchargement, la sauvegarde des fichiers de jeu, etc. Cela devait être expliqué, car j’envoyais une vidéo sur un utilisateur qui testait WCry et il a remplacé le lecteur C par "drive_c", qui se trouve dans le ~ / .wine. dossier, mais il a toujours été affecté sur le dossier de départ.

Ma recommandation si vous souhaitez éviter ou au moins réduire l’impact sur votre dossier de base lors des tests avec wine est de simplement désactiver les dossiers suivants en les pointant vers le même dossier personnalisé dans l’environnement de Wine ou vers un seul et même faux dossier ailleurs.

entrez la description de l'image ici

J'utilise Ubuntu 17.04 64 bits, les partitions sont Ext4 et je n'ai aucune autre mesure de sécurité à part installer simplement Ubuntu, formater les disques et mettre à jour le système tous les jours.

Luis Alvarado
source
26

Quelles étapes les utilisateurs de Linux doivent-ils protéger contre cela s'ils utilisent par exemple Wine?

Rien. Eh bien peut-être pas rien mais rien d'extra. Les règles normales s'appliquent: effectuez des sauvegardes régulières de vos données personnelles. Testez également vos sauvegardes afin de savoir que vous pouvez les restaurer en cas de besoin.

Choses à noter:

  1. Le vin n'est pas Windows. N'utilisez pas de vin pour:

    1. mails ouverts,
    2. ouvrir des liens dropbox
    3. surfer sur le web.

      Ces 3 sont la façon dont cela semble se propager sur des machines. Si vous devez le faire, utilisez virtualbox avec une installation normale.

  2. Il utilise également le cryptage et le cryptage sous Linux est beaucoup plus difficile que sous Windows. Si ce malware parvient à toucher votre système Linux, au pire, vos fichiers personnels $homesont compromis. Il suffit donc de restaurer une sauvegarde si cela se produit.

Aucun mot si wine fait quelque chose à propos d'une mise à jour de sécurité.

Ce n'est pas un problème de vin. "Corriger" cela signifie que vous devez utiliser les composants Windows qui ont corrigé ce problème. Ou utilisez un scanner de virus dans Wine qui peut détecter ce malware. Le vin lui-même ne peut fournir aucune forme de réparation.

Encore une fois: même si wine peut être utilisé comme vecteur d’attaque, vous devez tout de même agir en tant qu’utilisateur non infecté: vous devez utiliser Wine pour ouvrir un site Web malveillant, un lien malveillant dans un courrier électronique. Vous devriez déjà ne jamais le faire puisque le vin ne vient avec aucune forme de protection antivirus. Si vous avez besoin de faire de telles choses, vous devriez utiliser Windows dans une virtualbox (avec un logiciel à jour et un scanner de virus).

Et quand vous êtes infecté par du vin: cela n'affectera que les fichiers qui vous appartiennent. Votre /home. Vous corrigez donc cela en supprimant le système infecté et en restaurant la sauvegarde que nous faisons déjà tous. C'est ça du côté de Linux.

Oh, quand un utilisateur n'est pas si malin et utilise du sudovin, c'est le problème de l'UTILISATEUR. Pas du vin.

Si quelque chose: je suis moi-même déjà contre l'utilisation de vin pour quoi que ce soit. Utiliser un double démarrage sans interaction entre Linux et Windows ou utiliser une boîte virtuelle avec un Windows à jour et utiliser un scanner de virus est bien supérieur à tout ce que le vin peut offrir.

Certaines des entreprises touchées par ceci:

  • Telephonica.
  • Fedex.
  • Services de santé nationaux (Grande-Bretagne).
  • Deutsche Bahn (chemin de fer allemand).
  • Q-park (Europe. Service de parking).
  • Renault.

Tous utilisaient des systèmes Windows XP et Windows 7 non corrigés. Baddest était le NHS. Ils utilisent Windows sur du matériel où ils ne peuvent pas mettre à niveau les systèmes d'exploitation (...) et ont dû demander aux patients d'arrêter de venir dans les hôpitaux et d'utiliser plutôt le numéro d'alarme général.

Pour l'instant, pas une seule machine utilisant Linux ou une seule machine utilisant Wine n'a été infectée. Pourrait-il être fait? Oui (même pas "probablement"). Mais l'impact serait probablement une seule machine et n'aurait pas d'effet en cascade. Ils auraient besoin de notre mot de passe administrateur pour cela. Donc, "nous" ne présente que peu d'intérêt pour ces pirates.

Si vous avez quelque chose à apprendre de cela, arrêtez d'utiliser Windows pour le courrier et les activités Internet générales sur un serveur de l' entreprise . Et non, les analyseurs de virus NE SONT PAS le bon outil pour cela: des mises à jour pour les analyseurs de virus sont créées APRÈS la découverte du virus. C'est trop tard.

Sandbox Windows: n'autorisez pas les partages. Mettre à jour ces machines. -Achetez un nouveau système d'exploitation lorsque Microsoft peut en télécharger une version. N'utilisez pas de logiciels piratés. Une entreprise qui utilise encore Windows XP demande que cela se produise.

Notre politique d'entreprise:

  • Utilisez Linux.
  • N'utilisez pas de partages.
  • Utilisez un mot de passe sécurisé et ne sauvegardez pas les mots de passe en dehors du coffre-fort.
  • Utilisez le courrier en ligne.
  • Utilisez le stockage en ligne pour les documents.
  • Utilisez uniquement Windows dans virtualbox pour les tâches que Linux ne peut pas faire. Certains clients utilisent uniquement des réseaux privés virtuels (VPN). Vous pouvez préparer une vbox et la copier lorsque vous avez tous les logiciels dont vous avez besoin.
  • Les systèmes Windows utilisés dans notre entreprise (ordinateurs portables personnels, par exemple) ne sont pas autorisés sur le réseau de l'entreprise.
Rinzwind
source
Oui, les règles normales s'appliquent: effectuez des sauvegardes régulières de vos données personnelles. Testez également vos sauvegardes afin de savoir que vous pouvez les restaurer en cas de besoin.
Sudodus
DK Bose
2
Confirmé par l'intermédiaire d'un ami de mon entreprise de cybersécurité: Wine peut être un vecteur d'infection si votre système de fichiers est partagé de manière non sécurisée avec les supports de lecteur virtuel Wine. Bien que ce soit rare et rare, les personnes qui utilisent Wine doivent faire preuve d'une extrême prudence, et celles qui n'utilisent pas Wine devraient être moins inquiètes (mais toujours prudentes - le Sens commun s'applique bien sûr ici)
Thomas Ward
Le logiciel malveillant crypte-t-il uniquement les fichiers locaux? Que se passe-t-il si j'ai un partage samba et que je le monte sur un ordinateur Windows? Les fichiers seront-ils également cryptés sur un lecteur réseau? Il y a aussi un autre risque. Une vulnérabilité a été trouvée, l'utilisateur n'a pas besoin d'ouvrir ni d'exécuter la pièce jointe. Il suffit que l’analyseur de malware Windows scanne un fichier spécialement conçu ( pcworld.com/article/3195434/security/… , technet.microsoft.com/en-us/library/security/4022344 ). Heureusement, il existe un correctif.
Personne
1
@ WinEunuuchs2Unix L'idée générale est de les restaurer. Vers un autre emplacement, puis vos fichiers actuels.
Rinzwind
15

Ce malware semble se propager en deux étapes:

  • Premièrement, via de bonnes pièces jointes: un utilisateur Windows reçoit un courrier électronique avec un fichier exécutable joint et l’exécute. Aucune vulnérabilité de Windows impliquée ici; l'inaptitude de l'utilisateur à exécuter un exécutable à partir d'une source non fiable (et à ignorer l'avertissement de son logiciel antivirus, le cas échéant).

  • Ensuite, il essaie d'infecter d'autres ordinateurs du réseau. C’est là que la vulnérabilité de Windows entre en jeu: s’il existe des machines vulnérables sur le réseau, le logiciel malveillant peut les utiliser pour les infecter sans aucune intervention de l’utilisateur .

En particulier, pour répondre à cette question:

Comme je n’ai pas démarré Windows 8.1 au bout de 6 à 8 semaines, puis-je appliquer ce correctif à partir d’Ubuntu sans démarrer Windows au préalable?

Vous ne pouvez être infecté par cette vulnérabilité que s'il existe déjà une machine infectée sur votre réseau. Si ce n'est pas le cas, il est prudent de démarrer Windows vulnérable (et d'installer immédiatement la mise à jour).

Cela signifie également, en passant, que l'utilisation de machines virtuelles ne signifie pas que vous pouvez faire preuve de négligence. Surtout s'il est directement connecté au réseau (réseau ponté), une machine virtuelle Windows se comporte comme n'importe quelle autre machine Windows. Vous ne vous souciez peut-être pas beaucoup si elle est infectée, mais cela peut également infecter d'autres machines Windows sur le réseau.

fkraiem
source
Plus précisément, le correctif que vous souhaitez appliquer est le MS17-010suivant: symantec.com/connect/blogs/… github.com/RiskSense-Ops/MS17-010 et renditioninfosec.com/2017/05/…
WinEunuuchs2Unix
0

Basé sur ce que tout le monde a écrit et parlé de ce sujet déjà:

WannaCrypt ransomware n'est pas codé pour fonctionner sur un système d'exploitation autre que Windows (à l'exception de Windows 10) car il est basé sur l'exploit NSA Eternal Blue, qui tire parti d'une faille de sécurité de Windows.

Utiliser Wine sous Linux n’est pas dangereux, mais vous pouvez vous infecter si vous utilisez ce logiciel pour le téléchargement, l’échange de courrier électronique et la navigation sur le Web. Wine a accès à de nombreux chemins d'accès à vos dossiers / home, ce qui permet à ce programme malveillant de chiffrer vos données et de vous "infecter".

En bref: à moins que les cybercriminels conçoivent intentionnellement WannaCrypt pour affecter les systèmes d’exploitation basés sur Debian (ou autre système de distribution Linux), vous ne devez pas vous inquiéter à ce sujet en tant qu’utilisateur d’Ubuntu, même s’il est sain de se tenir au courant des cyber-threads.

Dorian
source
Sophos fournit sur l'accès un antivirus Linux gratuit à des fins non commerciales. Bien que je n'ai pas regardé, je m'attendrais à ce qu'il ait été mis à jour pour ce ransomware. sophos.fr/fr-fr/products/free-tools/…
Mark
Sophos fonctionne en ligne de commande avec une interface manuelle. Je voulais dire un programme capable de s’exécuter et d’analyser des fichiers seul, sans que l’utilisateur ait besoin d’exécuter une analyse. Ainsi, lorsqu'une menace est détectée, le logiciel peut vous avertir et vous demander quoi faire.
Dorian
C'est explicitement ce que "sur l'accès" est. Il fait exactement ce que vous avez décrit.
Marc
Je dois être aveugle ou complètement novice si je n'ai jamais réussi à exécuter un démon Sophos en état de marche. Pourriez-vous me dire comment?
Dorian
1
Je suis heureux d'aider dans la mesure du possible. Ne vous inquiétez pas de ne pas être un expert - nous sommes tous sur nos propres chemins d'apprentissage. Voici la documentation sur la procédure d'installation: sophos.com/fr-fr/medialibrary/PDFs/documentation/… C'est très bien écrit. Si vous avez des difficultés, lancez un nouveau fil de discussion et envoyez-moi un message pour que je voie bien votre message. HTH
Mark
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.