Apakah mungkin, atau hanya menyebar melalui mesin Windows yang melayani lebih dari SMB?
Jika Linux melayani melalui SMB dapat menyebarkan wannacrypt, apa pendekatan yang harus diambil?
Apakah mungkin, atau hanya menyebar melalui mesin Windows yang melayani lebih dari SMB?
Jika Linux melayani melalui SMB dapat menyebarkan wannacrypt, apa pendekatan yang harus diambil?
Jawaban:
Secara umum setiap ransomware dapat mengenkripsi apa pun yang dapat diakses oleh pengguna yang terinfeksi, seperti malware lain yang dapat menulis ke mana saja menggunakan izin akun yang menjalankannya. Itu tidak sama dengan menjadi aktif untuk pengguna lain, tetapi dapat memengaruhi semua saham yang dapat diakses pengguna.
Penanggulangan:
Cegah dengan perlindungan virus & firewall, seperti biasa.
Paksa semua klien untuk menginstal pembaruan secara teratur.
Cadangan adalah cara paling ampuh untuk menangani semua ransomware setelah infeksi. Akhirnya beberapa pengguna Anda akan memiliki satu yang belum dikenali oleh perlindungan virus Anda. Punya cadangan yang tidak dapat diakses oleh pengguna Anda. Kalau tidak, cadangan tidak akan berguna, karena ransomware juga memiliki akses yang sama untuk menulis melalui cadangan.
Pencadangan offline adalah cara paling aman untuk mencapai hal ini, tetapi mungkin tidak terlalu praktis karena Anda perlu melakukan lebih banyak secara manual, dan ingatlah untuk melakukannya secara teratur.
Saya biasanya memiliki mesin independen yang menggunakan kredensial terpisah untuk mengakses lokasi yang akan dicadangkan. Di sana, saya memiliki cadangan tambahan yang dapat menyimpan perubahan apa pun selama beberapa minggu atau bulan. Ini baik terhadap kesalahan ransomware dan pengguna.
WannaCry menggunakan kerentanan dalam implementasi SMB untuk Windows: protokolnya sendiri tidak rentan. Dari artikel berita di MalwareLess :
Serangan WannaCry dimulai dengan menggunakan eksekusi kode jauh SMBv2 di Microsoft Windows OS. Eksploitasi EternalBlue telah tersedia untuk umum melalui tempat Shadowbrokers pada 14 April 2017 dan ditambal oleh Microsoft pada 14 Maret. Namun, banyak perusahaan dan organisasi publik belum menginstal tambalan ke sistem mereka.
Patch yang disebutkan adalah MS17-010 , Pembaruan Keamanan untuk Microsoft Windows SMB Server ( 4013389 ):
Pembaruan keamanan ini mengatasi kerentanan dalam Microsoft Windows. Kerentanan yang paling parah dapat memungkinkan eksekusi kode jarak jauh jika penyerang mengirim pesan yang dibuat khusus ke server Microsoft Server Message Block 1.0 (SMBv1).
Karena itu, itu tidak mempengaruhi Linux. Windows juga aman setelah menginstal pembaruan. Namun, jika masih ada komputer klien dengan Windows yang tidak ditambal, data tentang pembagian mungkin tidak aman.
Ditemukan ini, meskipun tidak ada sumber yang disediakan untuk mendukung klaim:
WannaCry mengeksploitasi sejumlah kelemahan dalam implementasi Microsoft terhadap protokol SMB1. Karena ini adalah kelemahan implementasi daripada kelemahan struktural dalam protokol itu sendiri, sistem Linux kebal. Ini benar terlepas dari apakah sistem menjalankan Samba, Wine, atau lapisan emulasi Windows lainnya.
Tidak, tetapi jika Anda khawatir ...
Hal lain yang harus dilakukan adalah menonaktifkan kemampuan klien untuk menghubungkan port keluar TCP 137, 139 dan 445, dan UDP 137, 138 ke WAN pada router Anda.
Dengan cara ini Anda mencegah PC Anda terhubung ke server SMB non-LAN. Anda juga harus menggunakan firewall Windows untuk mencegah SMB publik / swasta dan memungkinkan komunikasi hanya domain untuk rentang subnet Anda jika Anda bisa.
Instal pembaruan dan nonaktifkan SMB 1.0 jika memungkinkan. Anda seharusnya tidak perlu khawatir jika Anda melakukan ini.