Có thể, hoặc điều này sẽ chỉ lan truyền qua một máy Windows phục vụ trên SMB?
Nếu Linux phục vụ trên SMB có thể truyền bá wannacrypt, thì cách tiếp cận là gì?
Có thể, hoặc điều này sẽ chỉ lan truyền qua một máy Windows phục vụ trên SMB?
Nếu Linux phục vụ trên SMB có thể truyền bá wannacrypt, thì cách tiếp cận là gì?
Câu trả lời:
Nói chung, bất kỳ phần mềm ransomware nào cũng có thể mã hóa mọi thứ mà người dùng bị nhiễm có quyền truy cập, giống như bất kỳ phần mềm độc hại nào khác có thể ghi vào bất cứ nơi nào bằng quyền của tài khoản chạy nó. Điều đó không bằng việc nó trở nên tích cực cho những người dùng khác, nhưng nó có thể ảnh hưởng đến tất cả các chia sẻ mà người dùng có quyền truy cập.
Biện pháp đối phó:
Ngăn chặn với virus và tường lửa, như thường lệ.
Buộc tất cả khách hàng cài đặt bản cập nhật thường xuyên.
Sao lưu là cách mạnh mẽ nhất để xử lý tất cả các ransomware sau khi bị nhiễm. Cuối cùng, một số người dùng của bạn sẽ có một người chưa được công nhận bởi chương trình chống vi-rút của bạn. Có một bản sao lưu mà người dùng của bạn không có quyền truy cập ghi. Mặt khác, các bản sao lưu là vô ích, bởi vì ransomware cũng có quyền truy cập bằng nhau để ghi lên các bản sao lưu.
Sao lưu ngoại tuyến là cách an toàn nhất để đạt được điều này, nhưng có thể không thực tế lắm vì bạn cần thực hiện thủ công hơn và nhớ thực hiện thường xuyên.
Tôi thường có một máy độc lập sử dụng thông tin đăng nhập riêng biệt để truy cập vào các vị trí cần sao lưu. Ở đó, tôi có bản sao lưu gia tăng có thể lưu trữ bất kỳ thay đổi nào trong vài tuần hoặc vài tháng. Nó tốt chống lại cả lỗi ransomware và lỗi người dùng.
WannaCry đang sử dụng một lỗ hổng trong việc triển khai SMB của Windows: bản thân giao thức không dễ bị tấn công. Từ một bài báo trên MalwareLess :
Các cuộc tấn công WannaCry được bắt đầu bằng cách sử dụng mã thực thi từ xa SMBv2 trong Microsoft Windows OS. Khai thác EternalBlue đã được cung cấp công khai thông qua bãi rác Shadowbrokers vào ngày 14 tháng 4 năm 2017 và được Microsoft vá vào ngày 14 tháng 3. Tuy nhiên, nhiều công ty và tổ chức công cộng chưa cài đặt bản vá cho hệ thống của họ.
Bản vá được đề cập là MS17-010 , Cập nhật bảo mật cho Microsoft Windows SMB Server ( 4013389 ):
Bản cập nhật bảo mật này giải quyết các lỗ hổng trong Microsoft Windows. Các lỗ hổng nghiêm trọng nhất có thể cho phép thực thi mã từ xa nếu kẻ tấn công gửi các tin nhắn được chế tạo đặc biệt đến máy chủ Microsoft Server Message Block 1.0 (SMBv1).
Do đó, nó không ảnh hưởng đến Linux. Windows cũng an toàn sau khi cài đặt bản cập nhật. Tuy nhiên, nếu vẫn còn một máy khách có Windows không được vá, dữ liệu trên chia sẻ có thể không an toàn.
Tìm thấy điều này, mặc dù không có nguồn nào được cung cấp để sao lưu xác nhận quyền sở hữu:
WannaCry khai thác một loạt các lỗ hổng trong việc triển khai giao thức SMB1 của Microsoft. Vì đây là các lỗi thực thi thay vì các lỗi cấu trúc trong chính giao thức, các hệ thống Linux là miễn dịch. Điều này đúng bất kể các hệ thống đang chạy Samba, Wine hay bất kỳ lớp mô phỏng Windows nào khác.
Không, nhưng nếu bạn lo lắng ...
Một điều cần làm là vô hiệu hóa khả năng của khách hàng để kết nối các cổng ra TCP TCP, 139 và 445 và UDP 137, 138 với mạng WAN trên bộ định tuyến của bạn.
Bằng cách này, bạn ngăn PC của mình kết nối với máy chủ SMB không LAN. Bạn cũng nên sử dụng tường lửa Windows để ngăn SMB công khai / riêng tư và cho phép liên lạc chỉ có tên miền cho phạm vi mạng con của bạn nếu bạn có thể.
Cuối cùng cài đặt bản cập nhật và vô hiệu hóa SMB 1.0 nếu có thể. Bạn không nên có bất cứ điều gì phải lo lắng nếu bạn làm điều này.