logo标签列表

“Wanna Cry”勒索软件对Linux用户可能造成什么影响?

windowswinemalware
据最新消息,有一种勒索软件针对微软Windows系统加密了你的数据,并要求支付300美元赎金。如果Linux用户使用Wine等工具,他们需要采取哪些措施来保护自己呢?
据广泛报道,这种勒索软件据信是基于美国国家安全局(NSA)开发的黑客工具。该黑客工具被一个名为“影子经纪人”的黑客组织利用。相关代码可以在Github上找到。
微软于2017年3月14日发布了针对此漏洞的补丁(MS17-010)。据报道,大规模感染开始于4月14日。详情请参考这里的讨论。
由于我已经有6到8周没有启动Windows 8.1了,所以我能在Ubuntu上应用这个补丁而不需要先启动Windows吗?(经过研究发现,ClamAV可能可以从Linux端查看Windows分区并报告漏洞,但很难应用补丁。最好的方法是重新启动进入Windows并应用MS17-010补丁。)
订阅Microsoft自动更新的个人和小公司没有受到感染。那些延迟应用补丁以进行组织内部网络测试的大型机构更容易受到感染。
2017年5月13日,微软采取了非同寻常的措施,为已经不再支持的Windows XP发布了一个补丁,这已经有3年没有得到支持了。
目前还没有关于wine是否正在进行安全更新的消息。在下面的评论中有报道说当用户运行wine时,Linux也可能会受到感染。
一个“意外英雄”注册了一个域名,作为勒索软件的关键开关。我猜这个不存在的域名被黑客用于他们的私人内部网络,以免感染自己。下次他们会更聪明,所以不要依赖当前的关键开关。安装微软补丁是防止利用SMBv1协议漏洞的最佳方法。
2017年5月14日,Red Hat Linux表示他们不受“Wanna Cry”勒索软件的影响。这可能会误导Ubuntu用户以及Red Hat、CentOS、ArchLinux和Fedora用户。Red Hat支持wine,下面的回答证实它可能受到影响。实际上,搜索此问题的Ubuntu和其他Linux发行版用户可能会被Red Hat Linux支持的回答误导。
2017年5月15日更新。在过去的48小时内,微软发布了名为KB4012598的补丁,用于Windows 8、XP、Vista、Server 2008和Server 2003以防止“Wanna Cry”勒索软件。这些Windows版本已不再自动更新。尽管我昨天在我的Windows 8.1平台上应用了安全更新MS17-010,但我仍然需要下载并手动应用补丁KB4012598到我的旧版Vista笔记本电脑上。
主持人注意:这个问题并不离题——它询问是否有任何Linux用户需要采取措施来防范风险。
这个问题在这里是完全合适的,因为它与Linux(Ubuntu是其中之一)相关,并且对于在Ubuntu Linux机器上运行Wine或类似兼容层,甚至虚拟机的Ubuntu用户也是相关的。
1“LibreOffice 开始支持的 VBA(Visual Basic for Applications)?”这很有趣。您能否添加一个链接?是这个吗:https://help.libreoffice.org/Common/VBA_Properties? - DK Bose
1@DKBose 我添加了链接并删除了“beta”参考。据我所记,VBA是受支持的,但有一些限制。个人而言,我只使用过LO的本地BASIC。 - WinEunuuchs2Unix
它可以在Wine下运行,而且经过重新打包的版本会对整个系统进行加密- https://twitter.com/hackerfantastic/status/863359375787925505 - vassil philipov
1不,你不能直接在Ubuntu中应用Windows的补丁。可能可以通过在虚拟机中引导Windows分区并进行有限网络访问来安装补丁,但无法从外部应用Windows的补丁。它们会在Windows启动过程中被“应用”。 - dobey
4请重新措辞您的“问题”,以避免暗示勒索软件是微软的产品(您一直使用“微软的”来表示所有格)。它实际上是针对微软产品的一种攻击。 - dobey
病毒的传播已经停止了 请参阅https://www.malwaretech.com/2017/05/how-to-accidentally-stop-a-global-cyber-attacks.html - Rinzwind
2这个应该放在Unix和Linux板块,因为它不是特定于Ubuntu的。 - Ceda EI
2嗯,有一种方法。你可以下载补丁,将其存储在Windows分区中,在断开网络连接并重新启动到Windows之前安装它,然后再次连接网络。 - Carlos Manuel Escalona Villeda
1@CedaEl 这个问题是关于Linux的影响,而Ubuntu是Linux系统。它在两个网站上都是相关话题,不需要迁移。 - Thomas Ward
1这个“问题”包含了多个问题,就像WannaCry的传播一样广泛。以我看来,你应该大幅度地缩小范围。 - Andrea Lazzarotto
@AndreaLazzarotto 同意。我会删除LibreOffice Visual Basic for Applications宏方法,因为我们现在已经知道勒索软件是如何传播的。 - WinEunuuchs2Unix
在这里的回答中,我没有看到任何关于错误配置Samba服务器的危险的提及。 - Bruni
@Bruni 我不使用Samba服务器,但我在关于Microsoft服务器的文章中找到了这样的内容:“安全专家应该阻止外部主机访问Server Message Block (SMB)端口,特别是端口139和445,以及从本地网络到广域网(WANO)的User Datagram Protocol (UDP)端口137和138。”文章链接如下:https://securityintelligence.com/wannacry-ransomware-spreads-across-the-globe-makes-organizations-wanna-cry-about-microsoft-vulnerability/ 我认为这个建议也适用于Samba服务器。 - WinEunuuchs2Unix
@WinEunuuchs2Unix 虽然这样会使我的Samba服务器无法正常工作... - Bruni
在这种情况下,该文章还建议使用客户端策略工具包来禁用SMBv1和SMBv2,并允许SMBv3,如果我没记错的话。抱歉,我现在正在用手机上网。 - WinEunuuchs2Unix
1根据这篇文章:https://forums.theregister.co.uk/forum/1/2017/01/18/uscert_warns_admins_to_kill_smb_after_shadow_brokers_dump/,@Bruni,**Samba**可以使用`min protocol = SMB2server min protocol = SMB2client min protocol = SMB2`进行配置。但是,正如我今天早上发布的那样,我不使用Samba服务器,所以我不知道这对你是否有帮助。 - WinEunuuchs2Unix
警告:这个病毒已经开始了第二轮的传播。 - Rinzwind
4个回答
如果有帮助的话,为了补充 Rinzwind's answer,首先是问题:
1. 它是如何传播的?
通过电子邮件。有两个朋友受到了感染。他们发送了这封邮件给我,在受监管的环境下进行测试,所以基本上你需要打开邮件,下载附件并运行它。在最初的传染之后,它会系统地检查网络,看看还有谁可能会受到影响。
2. 使用Wine会受到影响吗?
简短的答案是:会。由于Wine模拟了Windows环境的几乎所有行为,这个蠕虫实际上可以尝试找到它如何对你产生影响的方法。最糟糕的情况是,根据Wine对你的Ubuntu系统的直接访问权限,你的家目录的一些或全部部分都会受到影响(没有完全测试过这个。请参见下面的第4个答案)。尽管我在这里看到了很多障碍,阻碍了蠕虫的行为以及它如何尝试加密非ntfs/fat分区/文件,以及它需要什么非超级管理员权限来执行此操作,即使是从Wine来的,它也没有像在Windows上那样的全部权限。无论如何,对于这一点,最好还是保持谨慎。
3. 我一旦收到包含此内容的电子邮件,该如何测试其行为?
我的初始测试涉及4个位于同一网络中的VirtualBox容器,历时3天。基本上,在第0天,我故意感染了第一个Windows 10系统。经过3天,所有4个系统都受到影响,并被加密显示出“Whoops”消息。然而,Ubuntu从未受到影响,即使在为所有4个虚拟机创建了一个共享文件夹并放置在Ubuntu桌面之外(Virtualbox之外)。该文件夹及其中的文件从未受到影响,这就是我对Wine以及它如何传播的疑问所在。
4. 我是否在Wine上进行了测试?
不幸的是,我确实进行了测试(在此之前已备份并将关键工作文件从桌面移走)。基本上,我的桌面和音乐文件夹都遭到了毁灭。然而,它并没有影响我在另一个驱动器中的文件夹,可能是因为当时它没有挂载。现在,在我们继续下去之前,我需要说明的是,我确实需要以sudo身份运行wine才能使其生效(我从不以sudo身份运行wine)。因此,在我的情况下,即使使用sudo,只有桌面和音乐文件夹(对我来说)受到了影响。
请注意,Wine具有桌面集成功能,即使您将C:驱动器更改为Wine文件夹内的某个位置(而不是默认的C驱动器),它仍然能够访问您的Linux主文件夹,因为它映射到您的文档、视频、下载、保存游戏文件等的主文件夹。这一点需要解释,因为我收到了一个关于用户测试WCry的视频,他将C驱动器更改为“drive_c”,该驱动器位于~/.wine文件夹内,但他的主文件夹仍然受到影响。
如果您希望在使用Wine进行测试时避免或至少减少对主文件夹的影响,我的建议是通过将以下文件夹指向Wine环境内的同一自定义文件夹或任何其他虚拟文件夹来简单地禁用它们。

enter image description here

我使用的是Ubuntu 17.04 64位操作系统,分区格式为Ext4。除了安装Ubuntu、格式化硬盘和每天更新系统之外,我没有采取其他安全措施。
Linux用户需要采取哪些措施来保护自己免受此类威胁的影响,例如使用Wine的情况下呢?
其实不需要特别的措施。正常的规则仍然适用:定期备份个人数据,并测试备份以确保在需要时可以恢复。
需要注意以下几点:
1. Wine并非Windows系统。不要使用Wine来: - 打开邮件, - 打开Dropbox链接, - 浏览网页。 这三种方式是该恶意软件传播到机器上的途径。如果需要进行这些操作,请使用VirtualBox进行正常安装。
2. 该恶意软件还使用了加密技术,而在Linux系统中进行加密比在Windows系统中更加困难。如果此恶意软件能够接触到您的Linux系统,最坏的情况下只会损害您主目录($home)中的个人文件。因此,如果发生这种情况,只需恢复备份即可。
没有消息表明Wine正在处理安全更新的问题。这不是Wine的问题。要“修复”此问题,您需要使用已修复此漏洞的Windows组件,或者在Wine中使用能够找到此恶意软件的病毒扫描程序。Wine本身无法提供任何形式的修复。
再次强调:即使Wine可以用作攻击向量,您仍然需要以用户身份执行通过Wine获取感染的操作,例如打开恶意网站、恶意邮件中的链接等。您本来就不应该这样做,因为Wine不带有任何形式的病毒防护功能。如果您需要执行此类操作,应该在虚拟机中使用已更新的软件和病毒扫描程序的Windows系统。
而且,当您通过Wine感染时,它只会影响您自己的文件,也就是/home目录。您可以通过删除受感染的系统并恢复我们已经进行的备份来解决这个问题。这就是从Linux方面解决问题的方法。
噢,当用户使用sudo与Wine一起使用时出现问题,那是用户的问题,而不是Wine的问题。
如果有什么需要的话:我个人已经反对使用酒来做任何事情。使用双系统但是没有Linux和Windows之间的交互,或者使用一个更新的Windows虚拟机并且配备病毒扫描器,远比Wine能提供的任何功能都要好。
一些受影响的公司有:
- Telephonica. - Fedex. - 英国国家医疗服务(NHS)。 - 德国铁路(Deutsche Bahn)。 - Q-park(欧洲停车服务)。 - Renault.
所有这些公司都使用未修补的Windows XP和Windows 7系统。其中最严重的是NHS。他们在无法升级操作系统的硬件上使用Windows(...),不得不要求患者停止前往医院,改用总警报号码。
到目前为止,没有一个使用Linux或Wine的机器被感染。这可能吗?是的(甚至不只是“可能”)。但影响可能只限于单个机器,并不会产生连锁效应。他们需要我们的管理员密码才能实现。所以对那些黑客来说,“我们”并不是很有兴趣。
如果从中有什么教训的话...停止在公司服务器上使用Windows进行邮件和一般互联网活动。而且,病毒扫描程序并不是正确的工具:病毒扫描程序的更新是在发现病毒之后创建的。那已经太晚了。
沙盒Windows:不要允许共享。更新那些机器。当微软停止支持某个版本时,购买一个新的操作系统。不要使用盗版软件。仍在使用Windows XP的公司就是在自找麻烦。
我们的公司政策:
- 使用Linux操作系统。 - 不使用共享文件夹。 - 使用密码保险箱,并且不要将密码保存在保险箱之外。 - 使用在线邮件服务。 - 使用在线存储来存放文档。 - 只有在Linux无法完成某些任务时,才在VirtualBox中使用Windows。我们的一些客户使用仅限于Windows的VPN。当你准备好所需软件后,可以制作一个虚拟机并将其复制过来。 - 公司内部使用的Windows系统(例如个人笔记本电脑)不允许连接到公司网络。
是的,正常规则适用:定期备份您的个人数据。同时测试您的备份,以确保在需要时可以恢复它们。 - sudodus
老帖子:https://security.stackexchange.com/questions/5119/can-windows-malware-harm-a-linux-computer-when-its-executed-with-wine - DK Bose
2经过我在我的网络安全公司的一位朋友证实:如果你的文件系统与Wine虚拟驱动器挂载以不安全的方式共享,那么Wine确实可以成为一种感染途径。尽管这种情况罕见且恶意,但使用Wine的人应该更加谨慎,而不使用Wine的人则应该较少担忧(当然,仍需谨慎——常识在这里同样适用)。 - Thomas Ward
恶意软件只加密本地文件吗?如果我有一个Samba共享并将其挂载到Windows计算机上,网络驱动器上的文件也会被加密吗?还存在另一个风险。发现了一个漏洞,用户无需打开和运行附件,只需要Windows恶意软件扫描器扫描一个特制文件即可(http://www.pcworld.com/article/3195434/security/microsoft-fixes-remote-hacking-flaw-in-windows-malware-protection-engine.html,https://technet.microsoft.com/en-us/library/security/4022344)。幸运的是,已经有一个补丁。 - nobody
您可以访问的任何文件都可能被感染。因此,如果您使用“sudo”,这意味着整个系统上的任何文件,或者当您在外部磁盘上使用“chmod 777”或“chown $USER”时,这意味着该磁盘上的任何文件。为了触及您无法自行触及的文件(除非您使用sudo),病毒还需要获取您的密码。哦:最好为从Windows挂载使用不同的用户(这样问题就仅限于该用户)。 - Rinzwind
我完全同意不使用Wine。当我想要运行Windows(例如进行nVidia游戏)时,我会重新启动进入Windows系统。今天,我为了安装安全更新(对抗“勒索病毒”)而在4个月后第一次重新启动了Windows 8.1。花了半个小时,包括运行Windows Defender来检查恶意软件指纹,然后我立即重新启动回到我舒适的Ubuntu系统中,享受漂亮的字体、Conky显示、自定义指示器、根据日出和日落自动调节屏幕亮度等等。 - WinEunuuchs2Unix
是的,我的个人意见是:不应该使用Windows连接到互联网。当你确实需要使用Windows时,只有在沙盒中使用。 - Rinzwind
@sudodus “测试备份,以确保你在需要时能够恢复它们”听起来值得开一个新的问答。我想象中是每半年进行一次测试,使用md5sum对比文件,不过我想知道你和其他人会怎么做呢? - WinEunuuchs2Unix
1@WinEunuuchs2Unix,总体的想法是恢复它们。将它们恢复到一个不同的位置,而不是您当前的文件夹中。 - Rinzwind
这个恶意软件似乎是通过两个步骤传播的:
首先,通过电子邮件附件:Windows用户收到一封带有可执行文件的电子邮件,并运行它。这里没有涉及任何Windows漏洞;只是用户在从不受信任的来源运行可执行文件时的无能和忽视其杀毒软件的警告。
然后它试图感染网络上的其他计算机。这就是Windows漏洞发挥作用的地方:如果网络上有易受攻击的机器,那么恶意软件可以利用它来感染它们,而无需任何用户操作。
特别是要回答这个问题:
我已经6到8周没有启动Windows 8.1了,我可以在不先启动Windows的情况下从Ubuntu应用此补丁吗?
只有在您的网络上已经有受感染的机器的情况下,您才会通过这个漏洞被感染。如果不是这种情况,那么安全起见,可以启动易受攻击的Windows(并立即安装更新)。
顺便提一下,这也意味着使用虚拟机并不意味着您可以粗心大意。特别是如果它直接连接到网络(桥接网络),Windows虚拟机的行为就像任何其他的Windows机器一样。您可能不太在意它是否被感染,但它也有可能感染网络上的其他Windows机器。
具体来说,您要应用的补丁是 MS17-010,请参考以下链接:https://www.symantec.com/connect/blogs/what-you-need-know-about-wannacry-ransomware、https://github.com/RiskSense-Ops/MS17-010和https://www.renditioninfosec.com/2017/05/call-to-microsoft-to-release-information-about-ms17-010/。 - WinEunuuchs2Unix

根据大家已经写和谈论过的内容:

WannaCrypt勒索软件的编码只适用于Windows操作系统(不包括Windows 10),因为它基于NSA Eternal Blue漏洞利用,该漏洞利用了Windows的安全漏洞。

在Linux下运行Wine并不不安全,但如果您使用此软件进行下载、电子邮件交流和浏览网页,可能会感染自己。Wine可以访问许多/home文件夹路径,这使得恶意软件有可能加密您的数据并以某种方式“感染”您。

简而言之: 除非网络犯罪分子有意设计WannaCrypt来影响Debian(或其他Linux发行版)操作系统,作为Ubuntu用户,您不必担心这个问题,尽管保持对网络威胁的警惕是明智的。

Sophos提供了适用于非商业目的的免费的Linux杀毒软件。虽然我没有查看过,但我预计它已经针对这种勒索软件进行了更新。https://www.sophos.com/en-us/products/free-tools/sophos-antivirus-for-linux.aspx - Mark
Sophos在命令行上运行,具有手动界面。我指的是一个真正能够自主运行并扫描文件的程序,而无需用户运行扫描。因此,当检测到威胁时,软件可以警告您并询问您对此该采取何种措施。 - Dorian
这就是“按需访问”的明确含义。它完全符合你所描述的要求。 - Mark
我一定是瞎了或者完全是新手,如果我从未成功运行过工作的Sophos守护程序。你能告诉我怎么做吗? - Dorian
1我很乐意尽我所能地帮助。不用担心自己不是专家,我们都在自己的学习之路上。这里有关于安装的文档:https://www.sophos.com/en-us/medialibrary/PDFs/documentation/savl_9_cgeng.pdf 写得非常好。如果你遇到困难,请开一个新的讨论并给我发消息,以确保我看到你的帖子。希望对你有帮助。 - Mark