web-dev-qa-db-ja.com

「Wanna Cry」ランサムウェアがLinuxユーザーに与える可能性のある影響は何ですか?

Microsoft Windowsをターゲットとするランサムウェアがデータを暗号化したため、支払わなければならない300の身代金があることが明らかになりました。 Linuxユーザーは、たとえばワインを使用している場合、これから保護するためにどのような手順が必要ですか?

このランサムウェアは、NSAがコンピューターに侵入するために開発したツールに基づいていると広く報告されています。 NSAツールは、Shadow Brokersと呼ばれるハッカーグループによって使用されました。コードは Github にあります。

マイクロソフトは、2017年3月14日にこの脆弱性に対するパッチ(MS17-010)をリリースしました。4月14日に集団感染が広がり始めたと報告されています。これは here で議論されています。

6〜8週間でWindows 8.1を起動していないので、最初にWindowsを起動せずにUbuntuからこのパッチを適用できますか? (調査後、ClamAVはLinux側からWindowsパーティションを調べて脆弱性を報告する可能性がありますが、パッチを適用できる可能性は低いです。最良の方法は、Windowsを再起動してMS17-010パッチを適用することです)

Microsoft自動更新を購読している個人および小規模企業は感染していません。組織のイントラネットに対してテストされるため、パッチの適用を遅らせる大規模な組織は、感染する可能性が高くなります。

2017年5月13日に、Microsoftは、3年間サポートされていないWindows XP用のパッチをリリースするという異常な措置を講じました。

Wineがセキュリティ更新に関して何かをしているなら、言葉はありません。以下のコメントで、ユーザーが wine を実行するとLinuxも感染する可能性があることが報告されました。

"accidental hero" は、ランサムウェアへのキルスイッチとして機能するドメイン名を登録しました。ハッカーはプライベートイントラネット上で存在しないドメインを使用していたため、自分自身に感染することはありませんでした。次回はより賢くなるので、この現在のキルスイッチに依存しないでください。 SMBv1プロトコルの脆弱性の悪用を防ぐMicrosoftパッチをインストールするのが最善の方法です。

2017年5月14日、Red Hat Linuxは「Wanna Cry」ランサムウェアの影響を受けないと述べました。これは、UbuntuユーザーとRed Hat、CentOS、ArchLinux、Fedoraユーザーを誤解させる可能性があります。 Red Hatはwineをサポートしており、以下の回答が有効であることを確認しています。本質的に、この問題をグーグルで検索するUbuntuおよびその他のLinuxディストリビューションユーザーは、Red Hat Linuxサポートの回答 here によって誤解される可能性があります。

2017年5月15日更新。過去48時間にわたり、MicrosoftはKB4012598というパッチをリリースしました Windows 8、XP、Vista、Server 2008およびServer 20 「Wanna Cry」ランサムウェアに対する攻撃。これらのWindowsバージョンは自動更新されなくなりました。昨日、Windows 8.1プラットフォームにセキュリティ更新プログラムMS17-010を適用しましたが、古いVistaラップトップでは、パッチKB4012598をダウンロードして手動で適用する必要があります。

モデレーターノート:この質問はトピックから外れていません。Linuxユーザーがリスクから保護するための手順を実行する必要があるかどうかを尋ねます。

Linux(Ubuntuが該当)に関連し、Wineまたは同様の互換性レイヤーを実行しているUbuntuユーザー、またはUbuntu Linuxマシン上のVMにも関連しているため、ここで完全にトピックになります。

windowswinemalware
64
WinEunuuchs2Unix

Rinzwindの答え が役立ち、補完する場合、最初の質問:

1.どのように広がりますか?

メールで。 2人の友人が影響を受けました。彼らは監視された環境でテストするために私に電子メールを送るので、基本的にあなたは電子メールを開き、添付ファイルをダウンロードして実行する必要があります。初期汚染の後、ネットワークを体系的にチェックして、他に誰が影響を受ける可能性があるかを確認します。

2. Wineを使用して影響を受けることはできますか?

簡単な答え:はい。 WineはWindows環境のほぼすべての動作をエミュレートするため、ワームは実際に、Wineがどのようにあなたに影響を与えることができるかについての方法を見つけることを試みることができます。最悪のシナリオは、Ubuntuシステムへのワインの直接アクセスに応じて、家の一部またはすべての部分が影響を受けることです(これを完全にテストしなかった。下記の回答4を参照)。ワームの動作方法、非ntfs/fatパーティション/ファイルの暗号化方法、およびこれを行うために必要なスーパー管理者以外のアクセス許可(Wineからでも)であるため、Windowsのような完全な能力はありません。いずれにせよ、このために安全な側でプレイする方が良いです。

3.電子メールが届いたら、この動作をどのようにテストできますか?

同じネットワーク上の4つのVirtualBoxコンテナを含む最初のテストは3日で終了しました。基本的に0日目に、私は意図的に最初のWindows 10システムを汚染しました。 3日後、4つすべてが影響を受け、暗号化に関する「Whoops」メッセージで暗号化されました。一方、Ubuntuは、Ubuntuデスクトップ(Virtualboxの外部)にある4人のゲストすべてに対して共有フォルダーを作成した後でも、影響を受けませんでした。フォルダーとその中のファイルは決して影響を受けなかったので、Wineに疑問があり、Wineがどのように伝播するのか疑問があります。

4. Wineでテストしましたか?

悲しいことに、私はそうしました(バックアップを取り、それを行う前に重要なジョブファイルをデスクトップから移動しました)。基本的に、デスクトップと音楽フォルダは運命にありました。ただし、その時点ではマウントされていなかったため、別のドライブにあるフォルダーには影響しませんでした。夢中になる前に、これを機能させるためにワインをSudoとして実行する必要がありました(Sudoでワインを実行することはありません)。そのため、私の場合、Sudoを使用しても、デスクトップと音楽フォルダ(私にとっては)のみが影響を受けました。

Wineにはデスクトップ統合機能があり、C:ドライブをWineフォルダー内(デフォルトのドライブcではなく)に変更した場合でも、Linux Homeフォルダーにマップできるため、Linux Homeフォルダーに到達できることに注意してください。ドキュメント、ビデオ、ダウンロード、ゲームファイルの保存などのホームフォルダー。WCryをテストしているユーザーに関するビデオを送信し、Cドライブを〜/ .wine内の "drive_c"に変更したため、これを説明する必要がありました。フォルダが、彼はまだホームフォルダに影響を受けました。

ワインでテストする際にホームフォルダーへの影響を回避する、または少なくとも軽減したい場合は、次のフォルダーをワイン環境内の同じカスタムフォルダーまたは別の場所にある単一の偽フォルダーにポイントすることで無効にすることをお勧めします。

enter image description here

Ubuntu 17.04 64ビットを使用しており、パーティションはExt4であり、Ubuntuをインストールし、ドライブをフォーマットし、毎日システムを更新する以外、セキュリティ対策はありません。

57
Luis Alvarado

Linuxユーザーは、たとえばワインを使用している場合、これから保護するためにどのような手順が必要ですか?

なし。まあ多分何もないが、余分な何もない。通常のルールが適用されます:個人データの定期的なバックアップを作成します。また、バックアップをテストして、必要なときに復元できることを確認します。

注意事項:

  1. WineはWindowsではありません。ワインを次の目的で使用しないでください。

    1. メールを開く、
    2. dropboxリンクを開く
    3. ウェブを閲覧。

      これら3つは、これがマシンに広がるように見える方法です。それを行う必要がある場合は、通常のインストールでvirtualboxを使用してください。

  2. また、暗号化を使用し、Linuxでの暗号化はWindowsよりもはるかに困難です。このマルウェアがLinuxシステムに接触する可能性がある場合、最悪の場合$homeの個人ファイルが危険にさらされます。したがって、これが発生した場合はバックアップを復元してください。

Wineがセキュリティ更新に関して何かをしているなら、言葉はありません。

ワインの問題ではありません。これを「修正」すると、これを修正したWindowsコンポーネントを使用する必要があります。または、このマルウェアを見つけることができるワインでウイルススキャナーを使用します。 Wine自体はいかなる形の修正も提供できません。

繰り返しますが、ワインを攻撃ベクトルとして使用することはできますが、感染させるためにワインからやってはいけないユーザーとして何かをする必要があります:ワインを使用して、悪意のあるWebサイト、メール内の悪意のあるリンクを開く必要がありますすでにneverしている必要があります。これは、ワインにはウイルス保護が一切含まれていないためです。そのようなことをする必要がある場合は、virtualboxのウィンドウを使用する必要があります(最新のソフトウェアとウイルススキャナーを使用)。

そして、ワインに感染した場合、それは自分のものだけに影響します。あなたの/home。そのため、感染したシステムを削除し、すでに作成したバックアップを復元することで修正します。 Linux側からは以上です。

ああ、ユーザーが「それほど頭が良くない」ときにSudoをwineで使用するのは、ユーザーの問題です。ワインではありません。

どちらかといえば:私自身はすでにワインを何かに使うことに反対です。 LinuxとWindowsの相互作用のないデュアルブートを使用するか、最新のWindowsでVirtualboxを使用し、ウイルススキャナーを使用することは、Wineが提供できるものよりもはるかに優れています。

これにより影響を受ける企業の一部:

  • テレフォニカ。
  • フェデックス。
  • 国民健康サービス(英国)。
  • ドイツ鉄道(ドイツ鉄道)。
  • Q-park(ヨーロッパ。駐車サービス)。
  • ルノー。

すべては、パッチを適用していないWindows XPおよびWindows 7システムを使用しました。最も悪いのはNHSでした。彼らは、オペレーティングシステムをアップグレードできないハードウェアでWindowsを使用し(...)、病院に来ないように患者に依頼し、代わりに一般的なアラーム番号を使用する必要がありました。

現時点では、Linuxを使用している単一のマシンやwineを使用している単一のマシンは感染していません。できますか?はい(「おそらく」ではない)。ただし、影響はおそらく単一のマシンであり、カスケード効果はありません。そのためには、管理者パスワードが必要です。そのため、「私たち」はこれらのハッカーにはほとんど関心がありません。

これから学ぶことがあれば... companyサーバーでのメールおよび一般的なインターネットアクティビティにWindowsを使用するのをやめてください。いいえ、ウイルススキャナーはこのための正しいツールではありません。ウイルススキャナーの更新は、ウイルスが見つかった後に作成されます。遅すぎます。

サンドボックスWindows:共有を許可しません。それらのマシンを更新します。 -Buy- Microsoftがバージョンを作成できるときに新しいオペレーティングシステム。海賊版ソフトウェアを使用しないでください。まだWindows XPを使用している会社は、これが起こることを求めています。

当社のポリシー:

  • Linuxを使用します。
  • 共有を使用しないでください。
  • パスワードセーフを使用し、パスワードをセーフ外に保存しないでください。
  • オンラインメールを使用します。
  • ドキュメントにオンラインストレージを使用します。
  • Linuxができないことに対してのみ、virtualbox内でWindowsを使用してください。クライアント専用のWindows専用のVPNがいくつかあります。 vboxを準備して、必要なソフトウェアがすべて揃ったらコピーします。
  • 社内で使用されているWindowsシステム(個人用ノートブックなど)は、社内ネットワークでは許可されていません。
26
Rinzwind

このマルウェアは、次の2つのステップで拡散するようです。

  • まず、古き良き電子メールの添付ファイルを介して:Windowsユーザーは、実行可能ファイルが添付された電子メールを受信し、実行します。ここにはWindowsの脆弱性は含まれていません。信頼できないソースから実行可能ファイルを実行することに対するユーザーの不適格性(および、存在する場合、ウイルス対策ソフトウェアからの警告を無視する)。

  • 次に、ネットワーク上の他のコンピューターに感染しようとします。そこでWindowsの脆弱性が関与します。ネットワーク上に脆弱なマシンが存在する場合、マルウェアはそれを使用して感染させますユーザーアクションなし

特に、この質問に答えるには:

6週間から8週間でWindows 8.1を起動していないので、最初にWindowsを起動せずにUbuntuからこのパッチを適用できますか?

ネットワークにすでに感染したマシンがある場合にのみ、この脆弱性を介して感染することができます。そうでない場合は、脆弱なWindowsを起動しても安全です(すぐに更新プログラムをインストールしてください)。

これは、ちなみに、仮想マシンを使用しても不注意にならないという意味ではありません。特に、ネットワークに直接接続されている場合(ブリッジネットワーキング)、Windows仮想マシンは他のWindowsマシンと同様に動作します。感染してもあまり気にしないかもしれませんが、ネットワーク上の他のWindowsマシンにも感染する可能性があります。

15
fkraiem

すでにこのテーマについて誰もが書いて話したことに基づいて:

WannaCryptランサムウェアは、Windowsセキュリティ違反を利用するNSA Eternal Blueエクスプロイトに基づいているため、Windows(Windows 10を除く)以外のOSで動作するようにコーディングされていません。

LinuxでWineを実行することは危険ではありませんが、このソフトウェアをダウンロード、電子メール交換、Web閲覧に使用すると、自分自身に感染する可能性があります。 Wineは多くの/ homeフォルダーパスにアクセスできるため、このマルウェアがデータを暗号化して何らかの方法で「感染」させる可能性があります。

簡単に言えば:サイバー犯罪者がDebian(または他のLinuxディストリビューション)ベースのOSに影響を与えるようにWannaCryptを意図的に設計しない限り、Ubuntuユーザーとしてこのテーマを心配しないでください。

0
Dorian