Возможно ли это, или это будет распространяться только через машину Windows, обслуживающую SMB?
Если Linux, обслуживающий SMB, может распространять wannacrypt, какой подход использовать?
В основном любая программа-вымогатель может зашифровать все, к чему имеет доступ зараженный пользователь, как и любое другое вредоносное ПО может писать куда угодно, используя разрешения учетной записи, в которой оно запущено. Это не означает, что он становится активным для других пользователей, но может повлиять на все общие ресурсы, к которым у пользователя есть доступ.
Контрмеры:
Как обычно, предотвращайте с помощью защиты от вирусов и брандмауэра.
Заставьте всех клиентов регулярно устанавливать обновления.
Резервное копирование - самый эффективный способ справиться со всеми программами-вымогателями после заражения. В конце концов, у некоторых из ваших пользователей появится тот, который еще не был распознан вашей антивирусной защитой. Создайте резервную копию, к которой у ваших пользователей нет доступа для записи. В противном случае резервные копии бесполезны, потому что программа-вымогатель также имеет равный доступ для записи поверх резервных копий.
Автономное резервное копирование - наиболее безопасный способ добиться этого, но он может быть не очень практичным, поскольку вам нужно делать больше вручную и не забывайте делать это регулярно.
Обычно у меня есть независимая машина, которая использует отдельные учетные данные для доступа к местам для резервного копирования. У меня есть инкрементная резервная копия, в которой можно хранить любые изменения в течение недель или месяцев. Он хорош как против программ-вымогателей, так и против ошибок пользователей.
Хочу плакать использует уязвимость в реализации SMB для Windows: сам протокол не уязвим. Из новостная статья о MalwareLess:
Атаки WannaCry инициируются с помощью удаленного выполнения кода SMBv2 в ОС Microsoft Windows. Эксплойт EternalBlue стал общедоступным через дамп Shadowbrokers 14 апреля 2017 г. и исправлен Microsoft 14 марта. Однако многие компании и общественные организации еще не установили исправление в свои системы.
Упомянутый патч MS17-010, Обновление безопасности для Microsoft Windows SMB Server (4013389):
Это обновление безопасности устраняет уязвимости в Microsoft Windows. Наиболее серьезная из уязвимостей делает возможным удаленное выполнение кода, если злоумышленник отправляет специально созданные сообщения на сервер Microsoft Server Message Block 1.0 (SMBv1).
Следовательно, это не влияет на Linux. Windows также безопасна после установки обновления. Однако, если все еще существует клиентский компьютер с неустановленной Windows, данные на общей папке могут быть небезопасными.
Нашел это, хотя не было предоставлено никаких источников для подтверждения утверждения:
WannaCry использует ряд недостатков в реализации протокола SMB1 Microsoft. Поскольку это недостатки реализации, а не структурные недостатки самого протокола, системы Linux не защищены. Это верно независимо от того, работают ли в системе Samba, Wine или любой другой уровень эмуляции Windows.
Нет, но если ты волнуешься ...
Еще нужно отключить возможность клиентов подключать исходящие порты TCP 137, 139 и 445 и UDP 137, 138 к WAN на вашем маршрутизаторе.
Таким образом вы предотвратите подключение ваших ПК к серверам SMB, не относящимся к локальной сети. Вы также должны использовать брандмауэр Windows, чтобы предотвратить общедоступный / частный SMB и разрешить связь только для домена для диапазонов подсети, если это возможно.
Окончательно установите обновление и отключите SMB 1.0, если возможно. Вам не о чем беспокоиться, если вы это сделаете.