刚刚曝光,您必须支付 300 美元的赎金,因为针对 Microsoft Windows 的勒索软件已加密您的数据。Linux 用户需要采取哪些步骤来防止这种情况发生(例如,如果他们使用 wine)?
据广泛报道,这种勒索软件基于 NSA 开发的一款入侵计算机的工具。NSA 的这款工具被一个名为影子经纪人。代码可以在Github。
微软发布了一个补丁(MS17-010) 于 2017 年 3 月 14 日针对此漏洞进行了攻击。据报道,大规模感染已于 4 月 14 日开始蔓延。讨论这里。
由于我已经 6 到 8 周没有启动过 Windows 8.1,我是否可以在不先启动 Windows 的情况下从 Ubuntu 应用此补丁?(经过研究,ClamAV 可能会从 Linux 端查看 Windows 分区报告漏洞,但不太可能应用该补丁。最好的方法是重新启动 Windows 并应用补丁 MS17-010。)
订阅 Microsoft 自动更新的个人和小公司不会受到感染。大型组织如果因为针对组织内部网进行测试而延迟应用补丁,则更有可能受到感染。
2017 年 5 月 13 日,微软采取非同寻常的举措,发布了对三年来一直不受支持的 Windows XP 的补丁。
不知道 Wine 是否正在针对安全更新做任何改动。下面的评论中报道说,当用户运行葡萄酒。
一个“意外的英雄”注册了一个域名,作为勒索软件的终止开关。我推测这个不存在的域名是黑客在他们的私人内联网上使用的,这样他们就不会感染自己。下次他们会更聪明,所以不要依赖这个当前的终止开关。安装 Microsoft 补丁是最好的方法,它可以防止利用 SMBv1 协议中的漏洞。
2017 年 5 月 14 日,Red Hat Linux 表示他们不受“Wanna Cry”勒索软件的影响。这可能会误导 Ubuntu 用户以及 Red Hat、CentOS、ArchLinux 和 Fedora 用户。Red Hat 支持 wine,下面的答案证实了它可以受到影响。实际上,Ubuntu 和其他 Linux 发行版用户在谷歌上搜索此问题时可能会被 Red Hat Linux 支持答案误导这里。
2017 年 5 月 15 日更新。在过去的 48 小时内,微软发布了名为KB4012598为了Windows 8、XP、Vista、Server 2008 和 Server 2003以防范“Wanna Cry”勒索软件。这些 Windows 版本不再自动更新。尽管我昨天在 Windows 8.1 平台上应用了安全更新 MS17-010,但我的旧 Vista 笔记本电脑仍然需要下载并手动应用补丁 KB4012598。
主持人注:这个问题并非题外话——它询问的是 Linux 用户是否需要采取任何措施来防范风险。
它与这里的主题非常完美,因为它与 Linux(Ubuntu 就是)相关,并且也与运行 Wine 或类似兼容层的 Ubuntu 用户,甚至在他们的 Ubuntu Linux 机器上的 VM 相关。
答案1
如果有帮助并补充Rinzwind 的回答首先是问题:
1. 它是如何传播的?
通过电子邮件。有 2 位朋友受到了影响。他们将电子邮件发送给我,让我在受监督的环境下进行测试,因此您基本上需要打开电子邮件,下载附件并运行它。在最初的感染之后,它会系统地检查网络,看看还有谁会受到影响。
2. 使用 Wine 会受到影响吗?
简短回答:是的。由于 Wine 几乎模拟了 Windows 环境的所有行为,因此蠕虫实际上可以尝试找到影响您的方法。最坏的情况是,根据 wine 对您的 Ubuntu 系统的直接访问,您家中的部分或全部区域将受到影响(未对此进行全面测试。请参阅下面的答案 4),尽管我看到这里有很多障碍,包括蠕虫的行为方式以及它如何尝试加密非 ntfs/fat 分区/文件,以及它需要哪些非超级管理员权限才能执行此操作,即使来自 Wine,因此它没有像在 Windows 上那样的完整权限。无论如何,最好谨慎行事。
3. 一旦收到包含该内容的电子邮件,我该如何测试其行为?
我最初的测试涉及同一网络上的 4 个 VirtualBox 容器,3 天后结束。基本上在第 0 天,我故意感染了第一个 Windows 10 系统。3 天后,所有 4 个都受到影响,并加密了,并显示有关加密的“糟糕”消息。另一方面,Ubuntu 从未受到影响,即使在 Ubuntu 桌面上(Virtualbox 之外)为所有 4 个客户机创建了一个共享文件夹。文件夹和其中的文件从未受到影响,所以这就是我对 Wine 以及它如何在其上传播感到怀疑的原因。
4. 我在 Wine 上测试过吗?
遗憾的是我这样做了(在这样做之前,我已经备份了桌面,并从桌面上移走了关键的工作文件)。基本上,我的桌面和音乐文件夹注定要完蛋了。但它并没有影响我在另一个驱动器中的文件夹,可能是因为当时没有安装它。现在,在我们忘乎所以之前,我确实需要以 sudo 身份运行 wine 才能使其工作(我从来没有用 sudo 运行 wine)。所以在我的情况下,即使使用 sudo,也只有桌面和音乐文件夹(对我来说)受到影响。
请注意,Wine 具有桌面集成功能,即使您将 C:驱动器更改为 Wine 文件夹内的某个位置(而不是默认的驱动器 c),它仍然能够访问您的 Linux 主文件夹,因为它映射到您的主文件夹,用于存放文档、视频、下载、保存游戏文件等。这需要解释一下,因为我发送了一个关于用户测试 WCry 的视频,他将 C 驱动器更改为 ~/.wine 文件夹内的“drive_c”,但他仍然受到主文件夹的影响。
如果您希望避免或至少降低使用 wine 进行测试时对主文件夹的影响,我的建议是简单地禁用以下文件夹,方法是将它们指向 wine 环境内的相同自定义文件夹或其他任何地方的单个虚假文件夹。
我正在使用 Ubuntu 17.04 64 位,分区是 Ext4,除了简单地安装 Ubuntu、格式化驱动器和每天更新系统之外,我没有其他安全措施。
答案2
例如,如果 Linux 用户使用 wine,他们需要采取哪些步骤来防止这种情况?
没什么。好吧,也许不是没什么,但没什么额外的。适用正常规则:定期备份您的个人数据。还要测试您的备份,以便您知道在需要时可以恢复它们。
注意事项:
Wine 不是 Windows。请勿使用 Wine 来:
- 打开邮件,
- 打开 Dropbox 链接
- 浏览网页。
这 3 个似乎是病毒传播到机器上的方式。如果您需要这样做,请使用常规安装的 VirtualBox。
它还使用加密,而在 Linux 中加密比在 Windows 中要困难得多。如果此恶意软件能够触及您的 Linux 系统,最坏的情况是您的个人文件
$home
会受到损害。因此,如果发生这种情况,只需恢复备份即可。
尚不清楚 Wine 是否正在针对安全更新采取任何措施。
这不是 Wine 的问题。“修复”这个问题意味着您需要使用已修复此问题的 Windows 组件。或者使用 Wine 中的病毒扫描程序来查找此恶意软件。Wine 本身无法提供任何形式的修复。
再次强调:尽管 wine 可以用作攻击媒介,但您仍然需要以用户身份做一些不应该做的事情,以免被感染:您需要使用 wine 打开恶意网站、邮件中的恶意链接。您应该已经绝不因为 wine 不具备任何形式的病毒防护,所以请这样做。如果您需要这样做,则应在 virtualbox 中使用 windows(使用最新的软件和病毒扫描程序)。
而且,当您通过 wine 感染病毒时,它只会影响属于您的文件。您的/home
。因此,您可以通过删除受感染的系统并恢复我们已经进行的备份来解决这个问题。从 Linux 方面来说就是这样。
哦,当用户“不那么聪明”并使用sudo
葡萄酒时,这是用户的问题。而不是葡萄酒的问题。
无论如何:我本人已经反对使用 wine 做任何事情。使用双启动,无需在 Linux 和 Windows 之间进行交互,或者使用带有最新 Windows 的 VirtualBox 并使用病毒扫描程序,这比 wine 提供的任何功能都要好得多。
受此影响的部分公司包括:
- 电话。
- 联邦快递。
- 国家医疗服务体系(英国)。
- 德国铁路(Deutsche Bahn)。
- Q-park(欧洲。停车服务)。
- 雷诺。
所有系统都使用未打补丁的 Windows XP 和 Windows 7 系统。最糟糕的是 NHS。他们在无法升级操作系统的硬件上使用 Windows (...),不得不要求患者停止来医院,改用通用报警号码。
到目前为止,还没有一台使用 Linux 的机器或一台使用 wine 的机器受到感染。有可能吗?是的(甚至“可能”也不是)。但影响可能只限于一台机器,不会产生连锁效应。他们需要我们的管理员密码才能做到这一点。所以“我们”对那些黑客来说没什么兴趣。
如果从中学到了什么...停止使用 Windows 进行邮件和一般的互联网活动公司服务器。不,病毒扫描程序不是解决此问题的正确工具:病毒扫描程序的更新是在发现病毒之后创建的。那太晚了。
沙盒 Windows:不允许共享。更新这些机器。当 Microsoft 推出新版本时,购买新操作系统。不要使用盗版软件。一家仍在使用 Windows XP 的公司要求这样做。
我们的公司政策:
- 使用 Linux。
- 不要使用共享。
- 使用密码保险箱,不要将密码保存在保险箱外。
- 使用网上邮件。
- 使用在线存储来保存文档。
- 仅在 Virtualbox 中使用 Windows 来完成 Linux 无法完成的任务。我们的客户使用的一些 VPN 仅适用于 Windows。您可以准备一个 vbox,并在其中安装好所有需要的软件后将其复制过来。
- 我们公司内部使用的 Windows 系统(例如个人笔记本)不允许出现在公司网络上。
答案3
该恶意软件似乎分两个步骤传播:
首先,通过电子邮件附件:Windows 用户收到一封带有可执行文件附件的电子邮件并运行它。这里不涉及 Windows 漏洞;只是用户在运行来自不受信任来源的可执行文件时能力不足(并且忽略了防病毒软件的警告,如果有的话)。
然后它会尝试感染网络上的其他计算机。这就是 Windows 漏洞发挥作用的地方:如果网络上有易受攻击的机器,那么恶意软件就可以利用它来感染它们无需任何用户操作。
具体来说,要回答这个问题:
由于我已经有 6 到 8 周没有启动 Windows 8.1 了,我是否可以在不先启动 Windows 的情况下从 Ubuntu 应用此补丁?
只有当您的网络上已有受感染的机器时,您才会通过此漏洞受到感染。如果不是这种情况,则可以安全地启动易受攻击的 Windows(并立即安装更新)。
顺便说一句,这也意味着使用虚拟机并不意味着你可以大意。尤其是当它直接连接到网络(桥接网络)时,Windows 虚拟机的行为与任何其他 Windows 机器一样。如果它被感染,你可能不太在意,但它也可能感染网络上的其他 Windows 机器。
答案4
根据大家已经就此主题所写和谈论的内容:
WannaCrypt 勒索软件无法在 Windows 以外的其他操作系统(不包括 Windows 10)上运行,因为它基于 NSA Eternal Blue 漏洞,而该漏洞利用了 Windows 的安全漏洞。
在 Linux 下运行 Wine 并不危险,但如果您使用该软件下载、交换电子邮件和浏览网页,您可能会感染病毒。Wine 确实可以访问您的许多 /home 文件夹路径,这使得该恶意软件可以加密您的数据并以某种方式“感染”您。
简而言之:除非网络犯罪分子故意设计 WannaCrypt 来影响基于 Debian(或其他 Linux 发行版)的操作系统,否则作为 Ubuntu 用户您不必担心这个问题,尽管保持对网络线程的警惕是有益的。