¿Cuál es el posible impacto del ransomware "Wanna Cry" en los usuarios de Linux?

64

Acaba de salir a la luz que hay que pagar un rescate de $ 300 porque el ransomware dirigido a Microsoft Windows ha cifrado sus datos. ¿Qué pasos deben proteger los usuarios de Linux de esto si, por ejemplo, usan wine?

Se informa ampliamente que este ransomware se basa en una herramienta desarrollada por la NSA para piratear computadoras. La herramienta NSA fue utilizada por un grupo de hackers llamado Shadow Brokers . El código se puede encontrar en Github .

Microsoft lanzó un parche ( MS17-010 ) contra esta vulnerabilidad el 14 de marzo de 2017. Se informa que la infección masiva comenzó a propagarse el 14 de abril. Esto se discute aquí .

Como no he arrancado Windows 8.1 en 6 a 8 semanas, ¿puedo aplicar este parche desde Ubuntu sin arrancar Windows primero? (Después de la investigación, puede ser posible que ClamAV pueda informar la vulnerabilidad desde el lado de Linux mirando la partición de Windows, pero es poco probable que pueda aplicar el parche. El mejor método sería reiniciar en Windows y aplicar el parche MS17-010).

Las personas y las pequeñas empresas que se suscriben a las Actualizaciones automáticas de Microsoft no están infectadas. Las organizaciones más grandes que retrasan la aplicación de parches a medida que se prueban en las intranets de la organización tienen más probabilidades de infectarse.

El 13 de mayo de 2017, Microsoft dio el paso extraordinario de lanzar un parche para Windows XP que no ha sido compatible durante 3 años.

No se sabe si Wine está haciendo algo sobre una actualización de seguridad. Se informó en un comentario a continuación que Linux también puede infectarse cuando los usuarios ejecutan wine .

Un "héroe accidental" registró un nombre de dominio que actuó como un interruptor mortal para el ransomware. Supongo que los hackers utilizaron el dominio inexistente en su intranet privada para que no se infectaran. La próxima vez serán más inteligentes, así que no confíes en este interruptor de interrupción actual. Instalar el parche de Microsoft, que evita explotar una vulnerabilidad en el protocolo SMBv1, es el mejor método.

El 14 de mayo de 2017, Red Hat Linux dijo que no estaban afectados por el ransomware "Wanna Cry". Esto podría engañar a los usuarios de Ubuntu junto con los usuarios de Red Hat, CentOS, ArchLinux y Fedora. Red Hat es compatible con el vino, que las respuestas a continuación confirman que pueden realizarse. En esencia, Ubuntu y otros usuarios de la distribución de Linux que buscan en Google este problema pueden ser engañados por la respuesta del Soporte de Red Hat Linux aquí .

15 de mayo de 2017 Actualización. En las últimas 48 horas, Microsoft lanzó parches llamados KB4012598 para Windows 8, XP, Vista, Server 2008 y Server 2003 para proteger contra el ransomware "Wanna Cry". Estas versiones de Windows ya no están en actualizaciones automáticas. Aunque ayer apliqué la actualización de seguridad MS17-010 en mi plataforma Windows 8.1, mi vieja computadora portátil Vista todavía necesita el parche KB4012598 descargado y aplicado manualmente.


Nota para el moderador: esta pregunta no está fuera del tema: pregunta si algún usuario de Linux necesita hacer algún paso para protegerse contra el riesgo.

Está perfectamente en el tema aquí, porque es relevante para Linux (que es Ubuntu), y también es relevante para los usuarios de Ubuntu que ejecutan Wine o capas de compatibilidad similares, o incluso máquinas virtuales en sus máquinas Ubuntu Linux.

WinEunuuchs2Unix
fuente
1
"¿VBA que LibreOffice está comenzando a admitir en beta?" es interesante. ¿Pueden agregar un enlace a eso? ¿Sería help.libreoffice.org/Common/VBA_Properties ?
DK Bose
1
@DKBose Agregué el enlace y eliminé la referencia "beta". IIRC VBA es compatible pero con limitaciones. Personalmente, solo he usado el BASIC nativo de LO.
WinEunuuchs2Unix
44
Vuelva a redactar su "pregunta" para evitar implicar que el ransomware es un producto de Microsoft (utiliza continuamente Microsoft para indicar posesivo). Es un ataque dirigido a un producto de Microsoft, más bien.
dobey
2
¿No debería estar esto en Unix y Linux porque no es específico de Ubuntu?
Ceda EI
2
bueno hay un camino. puede descargar el parche, almacenarlo en la partición de Windows, desconectarse de la red y reiniciar en Windows para instalarlo antes de volver a conectar la red.
Carlos Manuel Escalona Villeda

Respuestas:

57

Si ayuda y complementa la respuesta de Rinzwind , primero las preguntas:

1. ¿Cómo se propaga?

Vía correo electrónico. 2 amigos fueron afectados por ello. Me envían el correo electrónico para que lo pruebe en un entorno supervisado, por lo que básicamente necesitará abrir el correo electrónico, descargar el archivo adjunto y ejecutarlo. Después de la contaminación inicial, verificará sistemáticamente la red para ver quién más puede verse afectado.

2. ¿Puedo ser afectado al usar Wine?

Respuesta corta: sí. Dado que Wine emula casi todos los comportamientos del entorno de Windows, el gusano puede tratar de encontrar formas de cómo puede afectarlo. El peor de los casos es que, dependiendo del acceso directo que Wine tenga a su sistema Ubuntu, algunas o todas las partes de su hogar se verán afectadas (no probé completamente esto. Vea la respuesta 4 a continuación), aunque veo muchos obstáculos aquí para cómo se comporta el gusano y cómo intentaría cifrar una partición / archivos no ntfs / fat y qué permiso de administrador no súper necesitaría hacer esto, incluso viniendo de Wine, por lo que no tiene poderes completos como en Windows. En cualquier caso, es mejor jugar del lado seguro para esto.

3. ¿Cómo puedo probar el comportamiento de esto una vez que recibo un correo electrónico que lo tiene?

Mi prueba inicial que involucró 4 contenedores VirtualBox en la misma red terminó en 3 días. Básicamente, en el día 0, contaminé a propósito el primer sistema Windows 10. Después de 3 días, los 4 fueron afectados y encriptados con el mensaje "Whoops" sobre el cifrado. Ubuntu, por otro lado, nunca se vio afectado, incluso después de crear una carpeta compartida para los 4 invitados que está en el escritorio de Ubuntu (fuera de Virtualbox). La carpeta y los archivos que contiene nunca se vieron afectados, por eso tengo mis dudas con Wine y cómo esto puede propagarse.

4. ¿Lo probé en Wine?

Lamentablemente lo hice (ya tenía una copia de seguridad y moví los archivos de trabajo críticos del escritorio antes de hacerlo). Básicamente, mi escritorio y mi carpeta de música estaban condenados. Sin embargo, no afectó la carpeta que tenía en otra unidad, tal vez porque no estaba montada en ese momento. Ahora, antes de dejarnos llevar, necesitaba correr vino como sudo para que esto funcione (nunca corro vino con sudo). Entonces, en mi caso, incluso con sudo, solo el escritorio y la carpeta de música (para mí) se vieron afectados.

Tenga en cuenta que Wine tiene una función de integración de escritorio donde, incluso si cambia la unidad C: a algo dentro de la carpeta Wine (en lugar de la unidad predeterminada c), aún podrá llegar a su carpeta Home de Linux, ya que se asigna a su carpeta de inicio para documentos, videos, descargas, guardar archivos de juegos, etc. Esto tenía que explicarse ya que me enviaron un video sobre un usuario que estaba probando WCry y cambió la unidad C a "drive_c", que está dentro del ~ / .wine carpeta pero todavía se vio afectado en la carpeta de inicio.

Mi recomendación si desea evitar o al menos reducir el impacto en su carpeta de inicio al probar con wine es simplemente deshabilitar las siguientes carpetas señalándolas a la misma carpeta personalizada dentro del entorno de wine o a una única carpeta falsa en cualquier otro lugar.

ingrese la descripción de la imagen aquí

Estoy usando Ubuntu 17.04 de 64 bits, las particiones son Ext4 y no tengo otras medidas de seguridad aparte de simplemente instalar Ubuntu, formatear las unidades y actualizar el sistema todos los días.

Luis Alvarado
fuente
26

¿Qué pasos deben proteger los usuarios de Linux de esto si, por ejemplo, usan wine?

Nada. Bueno, tal vez no nada pero nada extra. Se aplican las reglas normales: realice copias de seguridad periódicas de sus datos personales. También pruebe sus copias de seguridad para saber que puede restaurarlas cuando sea necesario.

Cosas a tener en cuenta:

  1. El vino no es Windows. No uses vino para:

    1. correos abiertos,
    2. abrir enlaces de dropbox
    3. navegar por la web.

      Esos 3 son la forma en que esto parece extenderse a las máquinas. Si necesita hacer eso, use virtualbox con una instalación normal.
  2. También utiliza cifrado y el cifrado en Linux es mucho más difícil que en Windows. Si este malware pudiera tocar su sistema Linux, en el peor de los casos, sus archivos personales $homeestán comprometidos. Tan solo restaure una copia de seguridad si eso sucede alguna vez.


No se sabe si Wine está haciendo algo sobre una actualización de seguridad.

No es un problema de vino. "Arreglar" esto significaría que necesita usar componentes de Windows que lo hayan solucionado. O use un escáner de virus en wine que pueda encontrar este malware. El vino en sí no puede proporcionar ninguna forma de solución.

Una vez más: a pesar de que wine se puede usar como el vector de ataque, aún necesita hacer cosas como usuario que no debería hacer desde wine para infectarse: debe usar wine para abrir un sitio web malicioso, un enlace malicioso en un correo. Ya debe no hacer eso ya que el vino no viene con ningún tipo de protección contra virus. Si necesita hacer cosas como esa, debe usar Windows en una caja virtual (con software y escáner de virus actualizados).

Y cuando te infectas con el vino: solo afectará a los archivos que son tuyos. Su /home. Así que lo arreglas eliminando el sistema infectado y restaurando la copia de seguridad que todos ya hacemos. Eso es del lado de Linux.

Ah, cuando un usuario "no es tan inteligente" y lo usa sudocon vino, es un problema del USUARIO. No vino

En todo caso: ya estoy en contra del uso del vino para cualquier cosa. Usar un arranque dual sin interacción entre Linux y Windows o usar una caja virtual con Windows actualizado y usar un escáner de virus es muy superior a todo lo que Wine puede ofrecer.


Algunas de las empresas afectadas por esto:

  • Telefonía
  • Fedex
  • Servicios Nacionales de Salud (Gran Bretaña).
  • Deutsche Bahn (Ferrocarril alemán).
  • Q-park (Europa. Servicio de estacionamiento).
  • Renault

Todos utilizaron sistemas sin parchear Windows XP y Windows 7. Lo peor fue el NHS. Usan Windows en hardware donde no pueden actualizar los sistemas operativos (...) y tuvieron que pedirles a los pacientes que dejen de ir a los hospitales y que usen el número de alarma general.

Hasta el momento, ni una sola máquina con Linux o una sola máquina con Wine se infectaron. ¿Se podría hacer? Sí (ni siquiera "probablemente"). Pero el impacto probablemente sería una sola máquina y no tendría un efecto en cascada. Necesitarían nuestra contraseña de administrador para eso. Entonces "nosotros" son de poco interés para esos hackers.

Si hay algo que aprender de esto ... deje de usar Windows para el correo y las actividades generales de Internet en un servidor de la compañía . Y no, los escáneres de virus NO son la herramienta correcta para esto: se crean actualizaciones para los escáneres de virus DESPUÉS de encontrar el virus. Eso es muy tarde.

Sandbox Windows: no permitir recursos compartidos. Actualiza esas máquinas. -Compra- un nuevo sistema operativo cuando Microsoft puede lanzar una versión. No uses software pirateado. Una compañía que todavía usa Windows XP está pidiendo que esto suceda.


Nuestras políticas de empresa:

  • Usa Linux.
  • No uses acciones.
  • Utilice una contraseña segura y no guarde contraseñas fuera de la caja fuerte.
  • Utiliza el correo en línea.
  • Utilice el almacenamiento en línea para documentos.
  • Solo use Windows dentro de virtualbox para cosas que Linux no puede hacer. Tenemos algunas VPN que usan nuestros clientes que son solo Windows. Puede preparar un vbox y copiarlo cuando tenga todo el software que necesitaría.
  • Los sistemas de Windows que se utilizan dentro de nuestra empresa (por ejemplo, portátiles personales) no están permitidos en la red de la empresa.
Rinzwind
fuente
Sí, se aplican las reglas normales: realice copias de seguridad periódicas de sus datos personales. También pruebe sus copias de seguridad para saber que puede restaurarlas cuando sea necesario.
sudodus
Publicación antigua: security.stackexchange.com/questions/5119/…
DK Bose
2
Confirmado por un amigo de mi empresa de seguridad cibernética: Wine puede ser un vector de infección, si su sistema de archivos se comparte de forma insegura con los montajes de unidades virtuales de Wine. Si bien eso es malvado y raro, las personas que usan Wine deberían ser más cautelosas, y las que no lo usan deberían estar menos preocupadas (pero aún así cautelosas, el sentido común se aplica aquí, por supuesto)
Thomas Ward
¿El malware encripta solo archivos locales? ¿Qué sucede si tengo un recurso compartido de samba y lo monte en una computadora con Windows? ¿Los archivos también se cifrarán en una unidad de red? También hay otro riesgo. Se ha encontrado una vulnerabilidad en la que el usuario no necesita abrir y ejecutar el archivo adjunto. Es suficiente que el escáner de malware de Windows escanee un archivo especialmente diseñado ( pcworld.com/article/3195434/security/… , technet.microsoft.com/en-us/library/security/4022344 ). Afortunadamente, hay un parche.
nadie
1
@ WinEunuuchs2Unix la idea general es restaurarlos. A otra ubicación, luego sus archivos actuales.
Rinzwind
15

Este malware parece extenderse en dos pasos:

  • Primero, a través de buenos archivos adjuntos de correo electrónico: un usuario de Windows recibe un correo electrónico con un ejecutable adjunto y lo ejecuta. No hay vulnerabilidad de Windows involucrada aquí; solo la ineptitud del usuario para ejecutar un ejecutable desde una fuente no confiable (e ignorar la advertencia de su software antivirus, si corresponde).

  • Luego intenta infectar otras computadoras en la red. Ahí es donde entra en juego la vulnerabilidad de Windows: si hay máquinas vulnerables en la red, entonces el malware puede usarlo para infectarlas sin ninguna acción del usuario .

En particular, para responder esta pregunta:

Como no he arrancado Windows 8.1 en 6 a 8 semanas, ¿puedo aplicar este parche desde Ubuntu sin arrancar Windows primero?

Solo puede infectarse a través de esta vulnerabilidad si ya hay una máquina infectada en su red. Si ese no es el caso, es seguro iniciar un Windows vulnerable (e instalar la actualización de inmediato).

Esto también significa, por cierto, que el uso de máquinas virtuales no significa que pueda ser descuidado. Especialmente si está conectado directamente a la red (red en puente), una máquina virtual de Windows se comporta como cualquier otra máquina de Windows. Es posible que no le importe mucho si se infecta, pero también puede infectar otras máquinas con Windows en la red.

fkraiem
fuente
Específicamente, el parche que desea aplicar es el MS17-010siguiente: symantec.com/connect/blogs/… github.com/RiskSense-Ops/MS17-010 y renditioninfosec.com/2017/05/…
WinEunuuchs2Unix
0

Basado en lo que todos escribieron y hablaron sobre este tema ya:

El ransomware WannaCrypt no está codificado para funcionar en otro sistema operativo que no sea Windows (sin incluir Windows 10) porque se basa en el exploit NSA Eternal Blue, que aprovecha una violación de seguridad de Windows.

Ejecutar Wine en Linux no es inseguro, pero puede infectarse si usa este software para descargas, intercambio de correo electrónico y navegación web. Wine tiene acceso a muchas de las rutas de su carpeta / home, lo que hace posible que este malware encripte sus datos y lo "infecte" de alguna manera.

Hablando brevemente: a menos que los delincuentes cibernéticos diseñen intencionalmente WannaCrypt para afectar los sistemas operativos basados ​​en Debian (u otras distribuciones de Linux), no debe preocuparse por este tema como usuario de Ubuntu, aunque es bueno mantenerse atento a los hilos cibernéticos.

dorio
fuente
Sophos proporciona antivirus linux de acceso que es gratuito para fines no comerciales. Si bien no he buscado, esperaría que se haya actualizado para este ransomware. sophos.com/en-us/products/free-tools/…
Mark
Sophos se ejecuta en línea de comandos con una interfaz manual. Me refería a un programa real capaz de ejecutarse y escanear archivos por sí solo, sin que el usuario necesite ejecutar un escaneo. Entonces, cuando se detecta una amenaza, el software puede advertirle y preguntarle qué hacer al respecto.
Dorian
Eso es explícitamente lo que es "en acceso". Hace exactamente lo que has descrito.
Mark
Debo ser ciego o completamente novato si nunca logré ejecutar un demonio de Sophos en funcionamiento. ¿Podrías decirme cómo?
Dorian
1
Estoy feliz de ayudar en la medida de lo posible. No se preocupe por no ser un experto: todos estamos en nuestros propios caminos de aprendizaje. Aquí hay documentación sobre cómo instalar: sophos.com/en-us/medialibrary/PDFs/documentation/… Está muy bien escrito. Si tienes dificultades, lanza un nuevo hilo y envíame un mensaje para asegurarte de que veo tu publicación. HTH
Mark