“wannacrypt”(wcrypt)可以通過服務於 SMB 的 Linux 伺服器傳播嗎?
是否有可能,或者這只會通過在 SMB 上服務的 Windows 機器傳播?
如果通過 SMB 服務的 Linux 可以傳播wannacrypt,採取什麼方法?
通常,任何勒索軟體都可以加密受感染使用者可以訪問的任何內容,就像任何其他惡意軟體可以使用執行它的帳戶的權限寫入任何地方一樣。這並不等於它對其他使用者變得活躍,但它會影響使用者有權訪問的所有共享。
對策:
- 像往常一樣使用病毒防護和防火牆進行預防。
- 強制所有客戶端定期安裝更新。
- 備份是在感染後處理所有勒索軟體的最有效方法。最終,您的一些使用者將擁有一個尚未被您的病毒防護辨識的使用者。**擁有您的使用者沒有寫入權限的備份。**否則備份是無用的,因為勒索軟體也有同等的權限來覆蓋備份。
離線備份是實現此目的最安全的方法,但可能不太實用,因為您需要手動執行更多操作,並記得定期執行此操作。
我通常有一台獨立的機器,它使用單獨的憑據來訪問要備份的位置。在那裡,我有增量備份,可以儲存數週或數月的任何更改。它對勒索軟體和使用者錯誤都有好處。
WannaCry在 SMB 的 Windows 實現中使用了一個漏洞:協議本身不易受到攻擊。來自MalwareLess 的新聞文章:
WannaCry 攻擊是使用 Microsoft Windows 作業系統中的 SMBv2 遠端程式碼執行發起的。EternalBlue 漏洞利用已於 2017 年 4 月 14 日通過 Shadowbrokers 轉儲公開提供,並於 3 月 14 日由 Microsoft 修補。但是,許多公司和公共組織尚未在其係統中安裝更新檔。
提到的更新檔是MS17-010,Microsoft Windows SMB 伺服器的安全更新( 4013389 ):
此安全更新解決了 Microsoft Windows 中的漏洞。如果攻擊者將特製消息發送到 Microsoft Server Message Block 1.0 (SMBv1) 伺服器,最嚴重的漏洞可能允許遠端執行程式碼。
因此,它不會影響 Linux。安裝更新後,Windows 也很安全。但是,如果仍有一台安裝了未修補 Windows 的客戶端電腦,則共享上的數據可能不安全。