「Wanna Cry」ランサムウェアがLinuxユーザーに与える可能性のある影響は何ですか?


64

Microsoft Windowsを標的とするランサムウェアがデータを暗号化したため、支払わなければならない300の身代金があることが明らかになりました。Linuxユーザーは、たとえばワインを使用している場合、これから保護するためにどのような手順が必要ですか?

このランサムウェアは、コンピューターにハッキングするためにNSAによって開発されたツールに基づいていることが広く報告されています。NSAツールは、シャドウブローカーと呼ばれるハッカーグループによって使用されました。コードはGithubにあります。

マイクロソフトは、2017年3月14日にこの脆弱性に対するパッチ(MS17-010)をリリースしました。4月14日に集団感染が広がり始めたと報告されています。これはここで議論されます

6〜8週間でWindows 8.1を起動していないので、最初にWindowsを起動せずにUbuntuからこのパッチを適用できますか?(調査後、ClamAVはLinux側からWindowsパーティションを調べて脆弱性を報告できる可能性がありますが、パッチを適用できる可能性は低いです。最良の方法は、Windowsを再起動してパッチMS17-010を適用することです)

Microsoft自動更新を購読している個人および小規模企業は感染していません。組織のイントラネットに対してテストされるため、パッチの適用を遅らせる大規模な組織は、感染する可能性が高くなります。

2017年5月13日、Microsoftは、3年間サポートされていないWindows XP用のパッチをリリースするという異常な一歩を踏み出しました。

wineがセキュリティの更新について何かをしているのであれば、何も言えません。以下のコメントで、ユーザーがwineを実行するとLinuxも感染する可能性があることが報告されました。

「偶然の英雄は」ランサムウェアにキルスイッチを務めたドメイン名を登録しました。ハッカーはプライベートイントラネット上で存在しないドメインを使用していたため、自分自身に感染することはありませんでした。次回はより賢くなるので、この現在のキルスイッチに依存しないでください。SMBv1プロトコルの脆弱性の悪用を防ぐMicrosoftパッチをインストールするのが最善の方法です。

2017年5月14日、Red Hat Linuxは「Wanna Cry」ランサムウェアの影響を受けないと述べました。これは、UbuntuユーザーとRed Hat、CentOS、ArchLinux、Fedoraユーザーを誤解させる可能性があります。Red Hatはwineをサポートしており、以下の回答が有効であることを確認しています。本質的に、Ubuntuや他のLinuxディストリビューションユーザーがこの問題をグーグルで検索しているのは、ここの Red Hat Linuxサポートの回答によって誤解される可能性があります

2017年5月15日更新。過去48時間にわたって、Microsoftは「Wanna Cry」ランサムウェアから保護するために、Windows 8、XP、Vista、Server 2008、およびServer 2003用のKB4012598と呼ばれるパッチをリリースしました。これらのWindowsバージョンは、自動更新されなくなりました。昨日、Windows 8.1プラットフォームにセキュリティ更新プログラムMS17-010を適用しましたが、古いVistaラップトップでは、パッチKB4012598をダウンロードして手動で適用する必要があります。


モデレーターのメモ:この質問はトピックから外れていません。リスクから保護するためにLinuxユーザーが何らかの手順を実行する必要があるかどうかを尋ねます。

Linux(Ubuntuが該当)に関連し、Wineまたは同様の互換性レイヤー、またはUbuntu Linuxマシン上のVMを実行しているUbuntuユーザーにも関連するため、ここで完全にトピックになります。


1
「LibreOfficeがベータ版でサポートし始めているVBA?」は興味深い。リンクを追加してもらえますか?それは次のようになりhelp.libreoffice.org/Common/VBA_Properties
DKボーズ

1
@DKBoseリンクを追加し、「ベータ版」の参照を削除しました。IIRC VBAはサポートされていますが、制限があります。個人的には、LOのネイティブBASICのみを使用しました。
WinEunuuchs2Unix

4
ランサムウェアがMicrosoftの製品であることを暗示することを避けるために、「質問」を書き直してください(所有権を示すためにMicrosoftの製品を継続的に使用します)。むしろマイクロソフト製品を標的とする攻撃です。
-dobey

2
これは、Ubuntu固有ではないため、UnixおよびLinuxにあるべきではありませんか?
セダEI

2
方法があります。パッチをダウンロードしてWindowsパーティションに保存し、ネットワークから切断し、Windowsで再起動してインストールしてから、ネットワークに再接続します。
カルロスマヌエルエスカロナヴィレッダ

回答:


57

それがRinzwindの答えを助け、補完する場合、最初の質問:

1.どのように広がりますか?

メールで。2人の友人が影響を受けました。彼らは監視された環境でテストするために私に電子メールを送るので、基本的にあなたは電子メールを開き、添付ファイルをダウンロードして実行する必要があります。初期汚染の後、ネットワークを体系的にチェックして、他に誰が影響を受ける可能性があるかを確認します。

2. Wineを使用して影響を受けることはできますか?

簡単な答え:はい。WineはWindows環境のほぼすべての動作をエミュレートするため、ワームは実際に、Wineがどのようにあなたに影響を与えることができるかについての方法を見つけようとします。最悪のシナリオは、Ubuntuシステムへのワインの直接アクセスに応じて、家の一部またはすべての部分が影響を受けることです(これを完全にはテストしませんでした。以下の回答4を参照)。ワームがどのように動作し、非ntfs / fatパーティション/ファイルを暗号化しようとするか、Wineから来たとしても、これを行うにはスーパー管理者以外の権限が必要になるため、Windowsのようにフルパワーを持ちません。いずれにせよ、このために安全な側でプレイする方が良いです。

3.電子メールが届いたら、この動作をどのようにテストできますか?

同じネットワーク上の4つのVirtualBoxコンテナを含む最初のテストは3日で終了しました。基本的に0日目に、私は意図的に最初のWindows 10システムを汚染しました。3日後、4つすべてが影響を受け、暗号化に関する「Whoops」メッセージで暗号化されました。一方、Ubuntuは、Ubuntuデスクトップ(Virtualboxの外部)にある4人のゲストすべてに対して共有フォルダーを作成した後でも、影響を受けることはありませんでした。フォルダーとその中のファイルは影響を受けなかったので、Wineに疑問があり、Wineがどのように伝播するのか疑問があります。

4. Wineでテストしましたか?

悲しいことに、私はそうしました(バックアップをすでに持っていて、そうする前に重要なジョブファイルをデスクトップから移動しました)。基本的に、私のデスクトップと音楽フォルダは運命だった。ただし、その時点でマウントされていなかったため、別のドライブにあるフォルダーには影響しませんでした。夢中になる前に、これを機能させるためにワインをsudoとして実行する必要がありました(sudoでワインを実行することはありません)。したがって、私の場合、sudoを使用しても、デスクトップと音楽フォルダ(私にとっては)だけが影響を受けました。

Wineにはデスクトップ統合機能があり、C:ドライブをWineフォルダー内(デフォルトのドライブcではなく)に変更した場合でも、Linux Homeフォルダーにアクセスできるため、Linux Homeフォルダーにアクセスできます。ドキュメント、ビデオ、ダウンロード、ゲームファイルの保存などのホームフォルダー。WCryをテストしているユーザーに関するビデオを送信し、Cドライブを〜/ .wine内の "drive_c"に変更したため、これを説明する必要がありました。フォルダが、彼はまだホームフォルダに影響を受けました。

ワインでテストする際にホームフォルダーへの影響を回避する、または少なくとも軽減したい場合は、次のフォルダーをワイン環境内の同じカスタムフォルダーまたは別の場所の単一の偽フォルダーにポイントすることで無効にすることをお勧めします。

ここに画像の説明を入力してください

Ubuntu 17.04 64ビットを使用しており、パーティションはExt4であり、Ubuntuをインストールし、ドライブをフォーマットし、毎日システムを更新する以外にセキュリティ対策はありません。


26

Linuxユーザーは、たとえばワインを使用している場合、これから保護するためにどのような手順が必要ですか?

なし。まあ多分何もないが、余分なものはありません。通常のルールが適用されます:個人データの定期的なバックアップを作成します。また、バックアップをテストして、必要なときに復元できることを確認します。

注意事項:

  1. WineはWindowsではありません。ワインを次の目的で使用しないでください。

    1. メールを開く、
    2. Dropboxリンクを開く
    3. ウェブを閲覧。

      これら3つは、これがマシンに広がるように見える方法です。それを行う必要がある場合は、通常のインストールでvirtualboxを使用してください。
  2. また、暗号化を使用し、Linuxでの暗号化はWindowsよりもはるかに困難です。このマルウェアがLinuxシステムに接触する可能性がある場合、最悪の場合、個人のファイル$homeが危険にさらされます。そのため、これが発生した場合はバックアップを復元してください。


wineがセキュリティの更新について何かをしているのであれば、何も言えません。

ワインの問題ではありません。これを「修正」すると、これを修正したWindowsコンポーネントを使用する必要があります。または、このマルウェアを見つけることができるワインでウイルススキャナーを使用します。Wine自体はいかなる形の修正も提供できません。

繰り返しますが、ワインを攻撃ベクトルとして使用することはできますが、感染するためにワインからやってはいけないユーザーとして物事を行う必要があります。ワインにはいかなる形のウイルス保護機能も備わっていないため、すでにそれを行うべきでありません。そのようなことをする必要がある場合は、virtualboxのウィンドウを使用する必要があります(最新のソフトウェアとウイルススキャナーを使用)。

そして、ワインに感染した場合、それは自分のものだけに影響します。あなたの/home。そのため、感染したシステムを削除し、すでに作成したバックアップを復元することで修正します。Linux側からは以上です。

ああ、ユーザーが「それほど賢くない」とsudoワインで使用するとき、それはユーザーの問題です。ワインではありません。

どちらかといえば:私自身はすでにワインを何かに使うことに反対です。LinuxとWindowsが相互作用しないデュアルブートを使用するか、最新のWindowsでVirtualboxを使用し、ウイルススキャナーを使用することは、Wineが提供できるものよりもはるかに優れています。


これにより影響を受ける企業の一部:

  • テレフォニカ。
  • フェデックス。
  • 国民健康サービス(英国)。
  • ドイツ鉄道(ドイツ鉄道)。
  • Q-park(ヨーロッパ。駐車サービス)。
  • ルノー。

すべては、パッチが適用されていないWindows XPおよびWindows 7システムを使用していました。最も悪いのはNHSでした。彼らは、オペレーティングシステムをアップグレードできないハードウェアでWindowsを使用し(...)、病院に来るのをやめて、代わりに一般的なアラーム番号を使用するよう患者に依頼する必要がありました。

現時点では、Linuxを使用している単一のマシンまたはwineを使用している単一のマシンは感染していません。できますか?はい(「おそらく」ではない)。ただし、影響はおそらく単一のマシンであり、カスケード効果はありません。そのためには、管理者パスワードが必要です。そのため、「私たち」はこれらのハッカーにはほとんど関心がありません。

これから何か学ぶことがあれば...メールや会社のサーバーでの一般的なインターネット活動にWindowsを使用するのをやめてください。いいえ、ウイルススキャナーはこのための正しいツールではありません。ウイルススキャナーの更新は、ウイルスが見つかった後に作成されます。遅すぎます。

サンドボックスWindows:共有を許可しません。それらのマシンを更新します。-Buy- Microsoftがバージョンを作成できるときに新しいオペレーティングシステム。海賊版ソフトウェアを使用しないでください。まだWindows XPを使用している会社は、これが起こることを求めています。


当社のポリシー:

  • Linuxを使用します。
  • 共有を使用しないでください。
  • パスワードセーフを使用し、パスワードをセーフ外に保存しないでください。
  • オンラインメールを使用します。
  • ドキュメントにオンラインストレージを使用します。
  • Linuxができないことに対してのみ、virtualbox内でWindowsを使用してください。クライアント専用のWindows専用のVPNがいくつかあります。vboxを準備して、必要なソフトウェアがすべて揃ったらコピーします。
  • 社内で使用されているWindowsシステム(個人用ノートブックなど)は、社内ネットワークでは許可されていません。

はい、通常のルールが適用されます。個人データの定期的なバックアップを作成します。また、バックアップをテストして、必要なときに復元できることを確認します。
sudodus


2
サイバーセキュリティ会社の友人から確認:ファイルシステムが安全でない方法でWine仮想ドライブマウントと共有されている場合、Wine 感染経路になる可能性があります。それは、悪とまれだがワインを使用している人々は、余分な注意が必要です、そしてワインを使用していないものは、あまり心配する必要があります(まだ慎重-コモンセンスはもちろん、ここで適用されます)
トーマス・ウォード

マルウェアはローカルファイルのみを暗号化しますか?Samba共有があり、それをWindowsコンピューターにマウントするとどうなりますか?ネットワークドライブでもファイルは暗号化されますか?別のリスクもあります。ユーザーが添付ファイルを開いて実行する必要のない脆弱性が発見されました。Windowsのマルウェアスキャナは、特別に細工されたファイル(スキャンしていればpcworld.com/article/3195434/security/...technet.microsoft.com/en-us/library/security/4022344を)、幸いなことに、パッチがあります。
誰も

1
@ WinEunuuchs2Unixの一般的な考え方は、それらを復元することです。別の場所に移動してから、現在のファイルに移動します。
リンツウィンド

15

このマルウェアは、次の2つのステップで拡散するようです。

  • まず、古き良き電子メールの添付ファイルを介して:Windowsユーザーは、実行可能ファイルが添付された電子メールを受信し、実行します。ここにはWindowsの脆弱性は含まれていません。信頼できないソースから実行可能ファイルを実行するユーザーの不適格性(および、ウイルス対策ソフトウェアの警告がある場合はそれを無視します)。

  • 次に、ネットワーク上の他のコンピューターに感染しようとします。そこでWindowsの脆弱性が関与します。ネットワーク上に脆弱なマシンが存在する場合、マルウェアはそれを使用して、ユーザーの操作なしでそれらを感染させることができます

特に、この質問に答えるには:

6週間から8週間でWindows 8.1を起動していないので、最初にWindowsを起動せずにUbuntuからこのパッチを適用できますか?

ネットワークにすでに感染したマシンがある場合にのみ、この脆弱性を介して感染することができます。そうでない場合は、脆弱なWindowsを起動しても安全です(すぐに更新プログラムをインストールしてください)。

ちなみに、これは、仮想マシンを使用しても不注意にならないという意味ではないことを意味します。特に、ネットワークに直接接続されている場合(ブリッジネットワーク)、Windows仮想マシンは他のWindowsマシンと同様に動作します。感染してもあまり気にしないかもしれませんが、ネットワーク上の他のWindowsマシンにも感染する可能性があります。


具体的に適用したいパッチがあるMS17-010:につきとしてsymantec.com/connect/blogs/... github.com/RiskSense-Ops/MS17-010renditioninfosec.com/2017/05/...
WinEunuuchs2Unix

0

すでにこのテーマについて誰もが書いて話したことに基づいて:

WannaCryptランサムウェアは、Windowsセキュリティ違反を利用するNSA Eternal Blueエクスプロイトに基づいているため、Windows(Windows 10を除く)以外のOSで動作するようにコーディングされていません。

LinuxでWineを実行することは危険ではありませんが、このソフトウェアをダウンロード、電子メール交換、およびWeb閲覧に使用すると、感染する可能性があります。Wineは多くの/ homeフォルダーパスにアクセスできるため、このマルウェアがデータを暗号化して何らかの方法で「感染」させる可能性があります。

簡単に言えば:サイバー犯罪者がDebian(または他のLinuxディストリビューション)ベースのOSに影響を与えるようにWannaCryptを意図的に設計しない限り、Ubuntuユーザーとしてこのテーマを心配しないでください。


ソフォスでは、非商用目的で無料のLinuxアンチウイルスを提供しています。見ていませんが、このランサムウェア用に更新されていると思います。sophos.com/en-us/products/free-tools/…-
マーク

ソフォスは、手動インターフェースを使用してコマンドラインで実行されます。ユーザーがスキャンを実行する必要なく、それ自体で実行し、ファイルをスキャンできる実際のプログラムを意味しました。そのため、脅威が検出されると、ソフトウェアは警告を発し、その対処方法を尋ねることができます。
ドリアン

それは、明示的に「アクセス時」です。それはまさにあなたが説明したことを行います。
マーク

動作するソフォスのデーモンを実行できなかった場合、私は盲目または完全に初心者でなければなりません。方法を教えてください。
ドリアン

1
できる範囲でお手伝いさせていただきます。専門家ではないことを心配する必要はありません。私たちはすべて自分の学習の道を歩んでいます。インストール方法に関するドキュメントは次のとおりです。sophos.com / en-us / medialibrary / PDFs / documentation / これは非常によく書かれています。問題がある場合は、新しいスレッドを作成し、メッセージを送信して、投稿が表示されるようにしてください。HTH
マーク
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.