是否有可能,还是只能通过SMB服务器上的Windows机器传播?
如果通过SMB服务的Linux可以传播wannacrypt,那么采取什么方法?
一般来说,任何勒索软件都可以encryption受感染用户访问的任何内容,就像任何其他恶意软件可以使用运行它的帐户的权限写入任何地方一样。 这不等于它变得对其他用户是活跃的,但它可以影响用户有权访问的所有共享。
对策:
像往常一样防止病毒防护和防火墙。
强制所有客户端定期安装更新。
备份是感染后处理所有勒索软件最有效的方法。 最终,您的某些用户将拥有一个尚未被您的病毒防护认可的用户。 备份您的用户没有写权限。 否则,备份是无用的,因为勒索软件也有平等的访问权限写在备份上。
离线备份是实现这一目标的最安全的方式,但可能不太实际,因为您需要手动执行更多操作,并且要记住定期执行此操作。
我通常有一个独立的机器,使用分离的凭据来访问要备份的位置。 在那里,我有增量备份,可以存储任何数周或数月的变化。 这对于勒索软件和用户错误都很好。
WannaCry在SMB的Windows实现中使用了一个漏洞:协议本身并不脆弱。 从一篇关于MalwareLess的新闻文章 :
WannaCry攻击是使用Microsoft Windows操作系统中的SMBv2远程代码执行启动的。 EternalBlue漏洞已于2017年4月14日通过Shadowbrokers转储公开发布,并于3月14日由微软修补。然而,许多公司和公共组织尚未在他们的系统中安装该补丁。
提到的修补程序是MS17-010 , Microsoft Windows SMB服务器安全更新 ( 4013389 ):
此安全更新可解决Microsoft Windows中的漏洞。 如果攻击者将特制邮件发送到Microsoft Server Message Block 1.0(SMBv1)服务器,则最严重的漏洞可能允许远程执行代码。
因此,它不会影响Linux。 安装更新后,Windows也是安全的。 但是,如果仍然存在未修补Windows的客户端计算机,则共享上的数据可能不安全。
发现这一点,虽然没有提供资料来支持这一说法:
WannaCry利用微软实施SMB1协议的一系列漏洞。 由于这些是协议本身的实施缺陷而不是结构性缺陷,Linux系统是免疫的。 无论系统是否运行Samba,Wine或任何其他Windows仿真层,情况都是如此。
不,但如果你担心…
另一件要做的事就是禁用客户端在路由器上将输出端口TCP 137,139和445以及UDP 137,138连接到WAN。
这样可以防止您的PC连接到非LAN SMB服务器。 如果可以的话,您还应该使用Windows防火墙来阻止公有/私有SMB,并允许您的子网范围内只进行域名通信。
在可能的情况下,安装更新并禁用SMB 1.0。 如果你这样做,你不应该有任何担心。