Est-il possible, ou cela ne se propagera-t-il que via une machine Windows servant sur SMB?
Si Linux servant sur SMB peut propager wannacrypt, quelle approche adopter?
linux
server-message-block
malware
smbfs
Fredrik
la source
la source
Réponses:
En général, tout ransomware peut crypter tout ce à quoi l'utilisateur infecté a accès, comme tout autre malware peut écrire n'importe où en utilisant les autorisations du compte qui l'exécute. Cela ne signifie pas qu'il devient actif pour les autres utilisateurs, mais cela peut affecter tous les partages auxquels l'utilisateur a accès.
Contre-mesures:
Empêchez avec une protection antivirus et un pare-feu, comme d'habitude.
Forcer tous les clients à installer régulièrement des mises à jour.
Les sauvegardes sont le moyen le plus puissant de gérer tous les ransomwares après une infection. Finalement, certains de vos utilisateurs en auront un qui n'a pas encore été reconnu par votre protection antivirus. Ayez une sauvegarde à laquelle vos utilisateurs n'ont pas accès en écriture. Sinon, les sauvegardes sont inutiles, car le ransomware a également un accès égal pour écrire sur les sauvegardes.
Une sauvegarde hors ligne est le moyen le plus sûr d'y parvenir, mais peut ne pas être très pratique car vous devez en faire plus manuellement et n'oubliez pas de le faire régulièrement.
J'ai généralement une machine indépendante qui utilise des informations d'identification séparées pour accéder aux emplacements à sauvegarder. Là, j'ai une sauvegarde incrémentielle qui peut stocker toutes les modifications au cours des semaines ou des mois. C'est bon contre les ransomwares et les erreurs des utilisateurs.
WannaCry utilise une vulnérabilité dans l'implémentation Windows de SMB: le protocole lui-même n'est pas vulnérable. Extrait d'un article d'actualité sur MalwareLess :
Le correctif mentionné est MS17-010 , Mise à jour de sécurité pour Microsoft Windows SMB Server ( 4013389 ):
Par conséquent, cela n'affecte pas Linux. Windows est également sécurisé après l'installation de la mise à jour. Cependant, s'il existe toujours un ordinateur client avec un Windows sans correctif, les données sur un partage peuvent ne pas être en sécurité.
la source
J'ai trouvé cela, bien qu'aucune source n'ait été fournie pour sauvegarder la réclamation:
la source
Non, mais si tu es inquiet ...
Une autre chose à faire est de désactiver la capacité des clients à connecter les ports sortants TCP 137, 139 et 445 et UDP 137, 138 au WAN sur votre routeur.
De cette façon, vous empêchez vos PC de se connecter à des serveurs SMB non LAN. Vous devez également utiliser le pare-feu Windows pour empêcher les PME publiques / privées et autoriser la communication de domaine uniquement pour vos plages de sous-réseau si vous le pouvez.
Installez enfin la mise à jour et désactivez SMB 1.0 si possible. Vous ne devriez avoir rien à craindre si vous faites cela.
la source