Kann sich "wannacrypt" (wcrypt) über einen Linux-Server verbreiten, der über SMB bereitgestellt wird?

Ist es möglich oder wird sich dies nur über einen Windows-Computer verbreiten, der über SMB bereitgestellt wird?

Wenn Linux, das über SMB bereitgestellt wird, Möchtegern verschlüsseln kann, wie sollte vorgegangen werden?

Im Allgemeinen kann jede Ransomware alles verschlüsseln, auf das der infizierte Benutzer Zugriff hat, so wie jede andere Malware mit den Berechtigungen des Kontos, auf dem sie ausgeführt wird, überall schreiben kann. Dies bedeutet nicht, dass es für andere Benutzer aktiv wird, kann jedoch alle Freigaben betreffen, auf die der Benutzer Zugriff hat.

Gegenmaßnahmen:

• Verhindern Sie wie gewohnt mit Virenschutz und Firewall.

• Erzwingen Sie, dass alle Clients regelmäßig Updates installieren.

• Backups sind die leistungsstärkste Methode, um alle Ransomware nach einer Infektion zu verarbeiten. Möglicherweise haben einige Ihrer Benutzer eine, die von Ihrem Virenschutz noch nicht erkannt wurde. Erstellen Sie ein Backup, auf das Ihre Benutzer keinen Schreibzugriff haben. Andernfalls sind die Backups nutzlos, da die Ransomware den gleichen Zugriff hat, um auch über die Backups zu schreiben.

  Eine Offline-Sicherung ist der sicherste Weg, um dies zu erreichen, ist jedoch möglicherweise nicht sehr praktisch, da Sie mehr manuell ausführen müssen und daran denken, dies regelmäßig durchzuführen.

  Normalerweise habe ich einen unabhängigen Computer, der getrennte Anmeldeinformationen verwendet, um auf die zu sichernden Speicherorte zuzugreifen. Dort habe ich eine inkrementelle Sicherung, in der Änderungen über Wochen oder Monate gespeichert werden können. Es ist gut gegen Ransomware- und Benutzerfehler.

WannaCry verwendet eine Sicherheitsanfälligkeit in der Windows-Implementierung von SMB: Das Protokoll selbst ist nicht anfällig. Aus einem Artikel über MalwareLess :

Die WannaCry-Angriffe werden mithilfe einer SMBv2-Remotecodeausführung unter Microsoft Windows initiiert. Der EternalBlue-Exploit wurde am 14. April 2017 über den Shadowbrokers-Dump öffentlich verfügbar gemacht und am 14. März von Microsoft gepatcht. Viele Unternehmen und öffentliche Organisationen haben den Patch jedoch noch nicht auf ihren Systemen installiert.

Der erwähnte Patch ist MS17-010 , Sicherheitsupdate für Microsoft Windows SMB Server ( 4013389 ):

Dieses Sicherheitsupdate behebt Schwachstellen in Microsoft Windows. Die schwerwiegendste der Sicherheitsanfälligkeiten kann die Ausführung von Remotecode ermöglichen, wenn ein Angreifer speziell gestaltete Nachrichten an einen SMBv1-Server (Microsoft Server Message Block 1.0) sendet.

Daher ist Linux nicht betroffen. Windows ist auch nach der Installation des Updates sicher. Wenn jedoch noch ein Clientcomputer mit einem nicht gepatchten Windows vorhanden ist, sind die Daten auf einer Freigabe möglicherweise nicht sicher.

Fand dies, obwohl keine Quelle angegeben wurde, um die Behauptung zu stützen:

WannaCry nutzt eine Reihe von Fehlern bei der Implementierung des SMB1-Protokolls durch Microsoft aus. Da es sich eher um Implementierungsfehler als um strukturelle Fehler im Protokoll selbst handelt, sind Linux-Systeme immun. Dies gilt unabhängig davon, ob auf den Systemen Samba, Wine oder eine andere Windows-Emulationsebene ausgeführt wird.

https://security.stackexchange.com/a/159405

Nein, aber wenn du dir Sorgen machst ...

Sie können auch die Fähigkeit des Clients deaktivieren, ausgehende Ports TCP 137, 139 und 445 sowie UDP 137, 138 mit WAN auf Ihrem Router zu verbinden.

Auf diese Weise verhindern Sie, dass Ihre PCs eine Verbindung zu Nicht-LAN-SMB-Servern herstellen. Sie sollten auch die Windows-Firewall verwenden, um öffentliche / private SMBs zu verhindern und die Nur-Domänen-Kommunikation für Ihre Subnetzbereiche zuzulassen, wenn Sie können.

Installieren Sie das Update finnisch und deaktivieren Sie SMB 1.0, wenn möglich. Sie sollten sich keine Sorgen machen müssen, wenn Sie dies tun.