web-dev-qa-db-fra.com

Quel est l'impact possible du ransomware "Wanna Cry" sur les utilisateurs de Linux?

Il est clair que vous devez payer une rançon de 300 USD, car un ransomware ciblant Microsoft Windows a crypté vos données. Quelles étapes les utilisateurs de Linux doivent-ils protéger contre cela s'ils utilisent par exemple Wine?

Il est largement rapporté que ce ransomware est basé sur un outil développé par la NSA pour pirater des ordinateurs. L'outil NSA a été utilisé par un groupe de hacker appelé le courtiers fantômes . Le code peut être trouvé dans Github .

Le 14 mars 2017, Microsoft a publié un correctif ( MS17-010 ) contre cette vulnérabilité. L'infection de masse aurait commencé à se répandre le 14 avril. Ceci est discuté ici .

Comme je n’ai pas démarré Windows 8.1 au bout de 6 à 8 semaines, puis-je appliquer ce correctif à partir d’Ubuntu sans démarrer Windows au préalable? (Après des recherches, il est possible que ClamAV signale la vulnérabilité du côté Linux s’appliquant à la partition Windows, mais il est peu probable qu’elle applique le correctif. La meilleure méthode consiste à redémarrer Windows et à appliquer le correctif MS17-010.)

Les particuliers et les petites entreprises abonnés aux mises à jour automatiques de Microsoft ne sont pas infectés. Les grandes entreprises qui tardent à appliquer des correctifs, car ceux-ci sont testés sur des intranets d’organisation, sont plus susceptibles d’être infectées.

Le 13 mai 2017, Microsoft a franchi une étape extraordinaire en publiant un correctif pour Windows XP, non pris en charge depuis 3 ans.

Pas de mot si wine fait quelque chose à propos d'une mise à jour de sécurité. Il a été rapporté dans un commentaire ci-dessous que Linux peut également être infecté lorsque les utilisateurs exécutent wine .

Un "héros accidentel" a enregistré un nom de domaine qui a servi de "kill-switch" au ransomware. Je suppose que le domaine inexistant a été utilisé par les pirates sur leur intranet privé, de sorte qu'ils ne se sont pas infectés. La prochaine fois, ils seront plus intelligents, alors ne vous fiez pas à ce kill-switch actuel. L'installation du correctif Microsoft, qui empêche l'exploitation d'une vulnérabilité dans le protocole SMBv1, constitue la meilleure méthode.

Le 14 mai 2017, Red Hat Linux a déclaré ne pas être affecté par le ransomware "Wanna Cry". Cela pourrait induire en erreur les utilisateurs Ubuntu ainsi que les utilisateurs Red Hat, CentOS, ArchLinux et Fedora. Red Hat prend en charge le vin dont les réponses ci-dessous confirment qu’il peut être effectué. Pour résumer, Ubuntu et d’autres utilisateurs de la distribution Linux recherchant ce problème pourraient être induits en erreur par la réponse du support technique Red Hat Linux ici .

Mise à jour du 15 mai 2017. Au cours des dernières 48 heures, Microsoft a publié des correctifs appelés KB4012598 pour Windows 8, XP, Vista, Server 2008 et Server 20 à protéger. contre "Wanna Cry" ransomware. Ces versions de Windows ne font plus l'objet de mises à jour automatiques. Bien que j'aie appliqué la mise à jour de sécurité MS17-010 sur ma plate-forme Windows 8.1 hier, mon ancien ordinateur portable Vista a toujours besoin du correctif KB4012598 téléchargé et appliqué manuellement.


Note du modérateur: Cette question n’est pas hors sujet. Elle demande si les utilisateurs de Linux doivent ou non prendre des mesures pour se protéger contre les risques.

C'est parfaitement d'actualité ici, car cela concerne Linux (ce qui est Ubuntu), ainsi que pour les utilisateurs Ubuntu exécutant Wine ou des couches de compatibilité similaires, voire les ordinateurs virtuels sur leurs machines Linux Ubuntu.

63
WinEunuuchs2Unix

Si cela peut aider et compléter réponse de Rinzwind , commencez par poser les questions suivantes:

1. Comment ça se propage?

Par email. 2 amis ont été touchés par cela. Ils m'envoient l'e-mail pour qu'il soit testé dans un environnement supervisé. Vous devez donc essentiellement ouvrir l'e-mail, télécharger la pièce jointe et l'exécuter. Après la contamination initiale, il vérifiera systématiquement le réseau pour voir qui d'autre peut être affecté.

2. Puis-je être affecté en utilisant du vin?

Réponse courte: oui. Étant donné que Wine émule presque tous les comportements de l’environnement Windows, le ver peut en réalité essayer de trouver des moyens de vous affecter. Le pire des scénarios est que, en fonction de l'accès direct du vin à votre système Ubuntu, tout ou partie de votre maison sera affectée (je n'ai pas entièrement testé cela. Voir la réponse 4 ci-dessous), bien que je vois ici de nombreux obstacles comment le ver se comporte et comment il essaierait de chiffrer une partition/fichiers non NTFS/fat et quelle autorisation non super administrateur aurait-il besoin de faire, même en venant de Wine, de sorte qu'il ne dispose pas des pleins pouvoirs comme sous Windows. Dans tous les cas, il vaut mieux jouer du bon côté pour cela.

3. Comment puis-je tester le comportement de celui-ci une fois que je reçois un email le contenant?

Mon test initial, qui impliquait 4 conteneurs VirtualBox sur le même réseau, s'est terminé en 3 jours. Le jour 0, j'ai contaminé volontairement le premier système Windows 10. Après 3 jours, tous les 4 étaient affectés et chiffrés avec le message "Whoops" sur le chiffrement. Ubuntu, par contre, n’a jamais été affecté, même après la création d’un dossier partagé pour les 4 invités qui se trouve sur le bureau Ubuntu (en dehors de Virtualbox). Le dossier et les fichiers qu'il contient n'ont jamais été affectés, c'est pourquoi j'ai des doutes avec Wine et comment cela peut se propager.

4. Est-ce que je l'ai testé sur Wine?

Malheureusement, je l’ai fait (avant d’avoir déjà effectué une sauvegarde et déplacé des fichiers de travail critiques du bureau). Fondamentalement, mon bureau et mon dossier de musique étaient condamnés. Cependant, cela n’affectait pas le dossier que j’avais dans un autre lecteur, peut-être parce qu’il n’était pas monté à l’époque. Avant de nous laisser emporter, j'avais besoin de faire fonctionner le vin en tant que Sudo pour que cela fonctionne (je ne fais jamais de vin avec Sudo). Donc dans mon cas, même avec Sudo, seuls le bureau et le dossier de musique (pour moi) ont été affectés.

Notez que Wine possède une fonctionnalité d’intégration au bureau dans laquelle, même si vous changez le lecteur C: en un élément du dossier Wine (au lieu du lecteur par défaut c), il sera toujours possible d’atteindre votre dossier Linux Home car il mappe vers votre dossier de départ pour les documents, les vidéos, le téléchargement, la sauvegarde des fichiers de jeu, etc. Cela devait être expliqué, car j’envoyais une vidéo sur un utilisateur qui testait WCry et il a remplacé le lecteur C par "drive_c", qui se trouve dans le ~/.wine. dossier, mais il a toujours été affecté sur le dossier de départ.

Si vous souhaitez éviter, ou du moins, réduire l’impact sur votre dossier de départ lors des tests avec wine, ma recommandation est simplement de désactiver les dossiers suivants en les pointant vers le même dossier personnalisé dans l’environnement de Wine ou vers un seul et même faux dossier ailleurs.

enter image description here

J'utilise Ubuntu 17.04 64 bits, les partitions sont Ext4 et je n'ai aucune autre mesure de sécurité à part installer simplement Ubuntu, formater les disques et mettre à jour le système tous les jours.

55
Luis Alvarado

Quelles étapes les utilisateurs de Linux doivent-ils protéger contre cela s'ils utilisent par exemple Wine?

Rien. Eh bien peut-être pas rien mais rien d'extra. Les règles normales s'appliquent: effectuez des sauvegardes régulières de vos données personnelles. Testez également vos sauvegardes afin de savoir que vous pouvez les restaurer en cas de besoin.

Choses à noter:

  1. Le vin n'est pas Windows. N'utilisez pas de vin pour:

    1. mails ouverts,
    2. ouvrir des liens dropbox
    3. surfer sur le web.

      Ces 3 sont la façon dont cela semble se propager sur des machines. Si vous devez le faire, utilisez virtualbox avec une installation normale.
  2. Il utilise également le cryptage et le cryptage sous Linux est beaucoup plus difficile que sous Windows. Si ce malware parvient à toucher votre système Linux, au pire vos fichiers personnels dans votre $home sont compromis. Il suffit donc de restaurer une sauvegarde si cela se produit.


Pas de mot si wine fait quelque chose à propos d'une mise à jour de sécurité.

Ce n'est pas un problème de vin. "Corriger" cela signifie que vous devez utiliser les composants Windows qui ont corrigé ce problème. Ou utilisez un scanner de virus dans Wine qui peut détecter ce malware. Le vin lui-même ne peut fournir aucune forme de réparation.

Encore une fois: bien que le vin puisse être utilisé comme vecteur d’attaque, vous devez tout de même agir en tant qu’utilisateur non infecté de wine: vous devez utiliser Wine pour ouvrir un site Web malveillant, un lien malveillant dans un courrier électronique. Vous devriez déjà jamais faire cela car le vin ne vient avec aucune forme de protection antivirus. Si vous avez besoin de faire de telles choses, vous devriez utiliser Windows dans une virtualbox (avec un logiciel à jour et un scanner de virus).

Et quand vous êtes infecté par du vin: cela n'affectera que les fichiers qui vous appartiennent. Votre /home. Vous corrigez donc cela en supprimant le système infecté et en restaurant la sauvegarde que nous faisons déjà tous. C'est ça du côté de Linux.

Oh, quand un utilisateur est "pas si malin" et utilise Sudo avec wine, c'est le problème de l'UTILISATEUR. Pas du vin.

Si quelque chose: je suis moi-même déjà contre l'utilisation de vin pour quoi que ce soit. Utiliser un double démarrage sans interaction entre Linux et Windows ou utiliser une boîte virtuelle avec un Windows à jour et utiliser un scanner de virus est bien supérieur à tout ce que le vin peut offrir.


Certaines des entreprises touchées par ceci:

  • Telephonica.
  • Fedex.
  • Services de santé nationaux (Grande-Bretagne).
  • Deutsche Bahn (chemin de fer allemand).
  • Q-park (Europe. Service de parking).
  • Renault.

Tous utilisaient des systèmes Windows XP et Windows 7 non corrigés. Baddest était le NHS. Ils utilisent Windows sur du matériel où ils ne peuvent pas mettre à niveau les systèmes d'exploitation (...) et ont dû demander aux patients d'arrêter de venir dans les hôpitaux et d'utiliser plutôt le numéro d'alarme général.

Pour l'instant, pas une seule machine utilisant Linux ou une seule machine utilisant Wine n'a été infectée. Pourrait-il être fait? Oui (même pas "probablement"). Mais l'impact serait probablement une seule machine et n'aurait pas d'effet en cascade. Ils auraient besoin de notre mot de passe administrateur pour cela. Donc, "nous" ne présente que peu d'intérêt pour ces pirates.

Si quelque chose à apprendre de cela ... arrêtez d'utiliser Windows pour le courrier et les activités Internet générales sur un serveur entreprise. Et non, les analyseurs de virus NE SONT PAS le bon outil pour cela: des mises à jour pour les analyseurs de virus sont créées APRÈS la découverte du virus. C'est trop tard.

Sandbox Windows: n'autorisez pas les partages. Mettre à jour ces machines. -Achetez un nouveau système d'exploitation lorsque Microsoft peut en télécharger une version. N'utilisez pas de logiciels piratés. Une entreprise qui utilise toujours Windows XP demande que cela se produise.


Notre politique d'entreprise:

  • Utilisez Linux.
  • N'utilisez pas de partages.
  • Utilisez un mot de passe sécurisé et ne sauvegardez pas les mots de passe en dehors du coffre-fort.
  • Utilisez le courrier en ligne.
  • Utilisez le stockage en ligne pour les documents.
  • Utilisez uniquement Windows dans virtualbox pour les tâches que Linux ne peut pas faire. Certains clients utilisent uniquement des réseaux privés virtuels (VPN). Vous pouvez préparer une vbox et la copier lorsque vous avez tous les logiciels dont vous avez besoin.
  • Les systèmes Windows utilisés dans notre entreprise (ordinateurs portables personnels, par exemple) ne sont pas autorisés sur le réseau de l'entreprise.
25
Rinzwind

Ce malware semble se propager en deux étapes:

  • Premièrement, via de bonnes pièces jointes: un utilisateur Windows reçoit un courrier électronique avec un fichier exécutable joint et l’exécute. Aucune vulnérabilité de Windows impliquée ici; l'inaptitude de l'utilisateur à exécuter un exécutable à partir d'une source non fiable (et à ignorer l'avertissement de son logiciel antivirus, le cas échéant).

  • Ensuite, il essaie d'infecter d'autres ordinateurs du réseau. C’est là que la vulnérabilité de Windows entre en jeu: s’il existe des machines vulnérables sur le réseau, le logiciel malveillant peut l’utiliser pour les infecter sans action de la part de l’utilisateur.

En particulier, pour répondre à cette question:

Comme je n’ai pas démarré Windows 8.1 au bout de 6 à 8 semaines, puis-je appliquer ce correctif à partir d’Ubuntu sans démarrer Windows au préalable?

Vous ne pouvez être infecté par cette vulnérabilité que s'il existe déjà une machine infectée sur votre réseau. Si ce n'est pas le cas, il est prudent de démarrer Windows vulnérable (et d'installer immédiatement la mise à jour).

Cela signifie également, en passant, que l'utilisation de machines virtuelles ne signifie pas que vous pouvez faire preuve de négligence. Surtout s'il est directement connecté au réseau (réseau ponté), une machine virtuelle Windows se comporte comme n'importe quelle autre machine Windows. Vous ne vous souciez peut-être pas beaucoup si elle est infectée, mais cela peut également infecter d'autres machines Windows sur le réseau.

14
fkraiem

Basé sur ce que tout le monde a écrit et parlé de ce sujet déjà:

WannaCrypt ransomware n'est pas codé pour fonctionner sur un système d'exploitation autre que Windows (à l'exception de Windows 10) car il est basé sur l'exploit NSA Eternal Blue, qui tire parti d'une faille de sécurité de Windows.

Utiliser Wine sous Linux n’est pas dangereux, mais vous pouvez vous infecter si vous utilisez ce logiciel pour le téléchargement, l’échange de courrier électronique et la navigation sur le Web. Wine a accès à de nombreux chemins d'accès à vos dossiers/home, ce qui permet à ce programme malveillant de chiffrer vos données et de vous "infecter".

En bref: à moins que les cybercriminels conçoivent intentionnellement WannaCrypt pour affecter les systèmes d’exploitation basés sur Debian (ou autre distribution sous Linux), vous ne devriez pas vous inquiéter à ce sujet en tant qu’utilisateur d’Ubuntu, même s’il est sain de se tenir au courant des cyber-threads.

0
Dorian