Kann sich "wannacrypt" (wcrypt) über einen Linux-Server verbreiten, der über SMB bereitgestellt wird?

8

Ist es möglich oder wird sich dies nur über einen Windows-Computer verbreiten, der über SMB bereitgestellt wird?

Wenn Linux, das über SMB bereitgestellt wird, Möchtegern verschlüsseln kann, wie sollte vorgegangen werden?

fredrik
quelle
Ich würde die Annahme in Frage stellen, dass Wein nicht betroffen ist. AFAIK Wine verwendet die bereitgestellten DLLs, daher sollte dies gründlich überprüft werden.
Byteborg
WanaCrypt0r wurde erfolgreich in Wine von einem Ask Ubuntu Mod ausgeführt: askubuntu.com/a/914954/271
Andrea Lazzarotto

Antworten:

8

Im Allgemeinen kann jede Ransomware alles verschlüsseln, auf das der infizierte Benutzer Zugriff hat, so wie jede andere Malware mit den Berechtigungen des Kontos, auf dem sie ausgeführt wird, überall schreiben kann. Dies bedeutet nicht, dass es für andere Benutzer aktiv wird, kann jedoch alle Freigaben betreffen, auf die der Benutzer Zugriff hat.

Gegenmaßnahmen:

  • Verhindern Sie wie gewohnt mit Virenschutz und Firewall.

  • Erzwingen Sie, dass alle Clients regelmäßig Updates installieren.

  • Backups sind die leistungsstärkste Methode, um alle Ransomware nach einer Infektion zu verarbeiten. Möglicherweise haben einige Ihrer Benutzer eine, die von Ihrem Virenschutz noch nicht erkannt wurde. Erstellen Sie ein Backup, auf das Ihre Benutzer keinen Schreibzugriff haben. Andernfalls sind die Backups nutzlos, da die Ransomware den gleichen Zugriff hat, um auch über die Backups zu schreiben.

    Eine Offline-Sicherung ist der sicherste Weg, um dies zu erreichen, ist jedoch möglicherweise nicht sehr praktisch, da Sie mehr manuell ausführen müssen und daran denken, dies regelmäßig durchzuführen.

    Normalerweise habe ich einen unabhängigen Computer, der getrennte Anmeldeinformationen verwendet, um auf die zu sichernden Speicherorte zuzugreifen. Dort habe ich eine inkrementelle Sicherung, in der Änderungen über Wochen oder Monate gespeichert werden können. Es ist gut gegen Ransomware- und Benutzerfehler.


WannaCry verwendet eine Sicherheitsanfälligkeit in der Windows-Implementierung von SMB: Das Protokoll selbst ist nicht anfällig. Aus einem Artikel über MalwareLess :

Die WannaCry-Angriffe werden mithilfe einer SMBv2-Remotecodeausführung unter Microsoft Windows initiiert. Der EternalBlue-Exploit wurde am 14. April 2017 über den Shadowbrokers-Dump öffentlich verfügbar gemacht und am 14. März von Microsoft gepatcht. Viele Unternehmen und öffentliche Organisationen haben den Patch jedoch noch nicht auf ihren Systemen installiert.

Der erwähnte Patch ist MS17-010 , Sicherheitsupdate für Microsoft Windows SMB Server ( 4013389 ):

Dieses Sicherheitsupdate behebt Schwachstellen in Microsoft Windows. Die schwerwiegendste der Sicherheitsanfälligkeiten kann die Ausführung von Remotecode ermöglichen, wenn ein Angreifer speziell gestaltete Nachrichten an einen SMBv1-Server (Microsoft Server Message Block 1.0) sendet.

Daher ist Linux nicht betroffen. Windows ist auch nach der Installation des Updates sicher. Wenn jedoch noch ein Clientcomputer mit einem nicht gepatchten Windows vorhanden ist, sind die Daten auf einer Freigabe möglicherweise nicht sicher.

Esa Jokinen
quelle
Mit "allgemein" meine ich, Sie sollten sich nicht darauf konzentrieren, was eine einzelne Ransomware derzeit kann. Ransomware entwickelt sich weiter und Ihre Benutzer können mit einer anderen Ransomware infiziert werden.
Esa Jokinen
Vielen Dank - obwohl Sie Recht haben, hat dies meine anfängliche Frage, ob sich Möchtegern nur über SMBv1 unter Windows verbreitet, nicht wirklich beantwortet.
Fredik
Wenn Sie eine Antwort gefunden haben, können Sie das Zitat als Antwort hinzufügen, anstatt die ursprüngliche Frage zu bearbeiten. Selbst wenn sich der Wurmteil der Malware nicht mit einer anderen als der Microsoft-Implementierung verbreiten konnte, was bedeutet, dass das Protokoll selbst nicht das Problem ist, können die Daten nicht als sicher angesehen werden.
Esa Jokinen
1

Fand dies, obwohl keine Quelle angegeben wurde, um die Behauptung zu stützen:

WannaCry nutzt eine Reihe von Fehlern bei der Implementierung des SMB1-Protokolls durch Microsoft aus. Da es sich eher um Implementierungsfehler als um strukturelle Fehler im Protokoll selbst handelt, sind Linux-Systeme immun. Dies gilt unabhängig davon, ob auf den Systemen Samba, Wine oder eine andere Windows-Emulationsebene ausgeführt wird.

https://security.stackexchange.com/a/159405

fredrik
quelle
Nachfolgende Kommentare zeigen, dass Linux-Immunität nicht perfekt ist
schroeder
0

Nein, aber wenn du dir Sorgen machst ...

Sie können auch die Fähigkeit des Clients deaktivieren, ausgehende Ports TCP 137, 139 und 445 sowie UDP 137, 138 mit WAN auf Ihrem Router zu verbinden.

Auf diese Weise verhindern Sie, dass Ihre PCs eine Verbindung zu Nicht-LAN-SMB-Servern herstellen. Sie sollten auch die Windows-Firewall verwenden, um öffentliche / private SMBs zu verhindern und die Nur-Domänen-Kommunikation für Ihre Subnetzbereiche zuzulassen, wenn Sie können.

Installieren Sie das Update finnisch und deaktivieren Sie SMB 1.0, wenn möglich. Sie sollten sich keine Sorgen machen müssen, wenn Sie dies tun.

NotoriousPyro
quelle