Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Ransomware

heronheronpetitpatapon

Bonjour, juste une petite question!
Savez-vous si le Ransomeware Wanna Cry, peut avoir un impact sur les systèmes basé sur le noyaux Linux ?
Merci
Heronheronpetitpatapon

abelthorne

Dans sa version actuelle, non, il cible des failles de vieilles versions de Windows. La probabilité d'en voir apparaître une version dérivée qui cible des systèmes Linux est assez faible.

nam1962

...et même si, il faudrait que l'utilisateur valide l'install...
J'en profite justement pour montrer l'intérêt d'un parc Linux ou au moins partiellement Linux 😉

GammaDraconis

Ce ransomware n'a aucun effet sur un système Linux, il a été conçu pour infecter Windows.

A noté qu'il ne concerne pas uniquement Windowx XP, Windows Vista et 7 sont aussi touchés et je crois que le 10 c'est pareil (mais Win10 est très peu répendu en entreprise)

nam1962

Oui, j'ai vu des dénégations sur W10, mais aussi des gens disant qu'ils sont touchés.
J'ai un peu regardé les détails mais là ça me dépasse un poil (d'autant que je n'ai plus de W$ du tout 😛 ) https://www.troyhunt.com/everything-you-need-to-know-about-the-wannacrypt-ransomware/

Barnabé2

Wannacry se sert du port 445 SMB, il faut donc le fermer en entrée, Windows 10 n'est pas concerné puisque fermé par défaut, Linux non plus, pas de service de ce type ouvert, et ports tous fermés en entrée si UFW / GUFW activés.

http://map.norsecorp.com/#/

Voir dans " Attack types ", SMB une valeur sure.

Brunod

heronheronpetitpatapon a écritBonjour, juste une petite question!
Savez-vous si le Ransomeware Wanna Cry, peut avoir un impact sur les systèmes basé sur le noyaux Linux ?
Merci
Heronheronpetitpatapon

Je dirai que oui si ce dernier partage des données avec un windows infecté. Apparement, le virus lorsqu'il s'active attaque le dd et tous les périphériques de stockage accessibles, dont clé usb, dd externes et logiquement partages réseau.
Mais il n'aura pas d'impact sur le système linux en tant que tel.

Barnabé2

Brunod a écrit
heronheronpetitpatapon a écritBonjour, juste une petite question!
...
Heronheronpetitpatapon
...
Mais il n'aura pas d'impact sur le système linux en tant que tel.

Un ransomeware de bonne facture peut se contenter de la couche applicative, Linux ou pas, d'où le danger.

Barnabé2

" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe teste les domaines de substitution de kill. Une fois fait, le service mssecsvc2.0 est créé, c'est une méthode de persistance pour les logiciels malveillants. Ce service exécute "mssecsvc.exe" avec un point d'entrée différent de l'exécution initiale. Cette seconde exécution exécute 2 threads. Le premier thread vérifie l'adresse IP de la machine infectée et tente de se connecter à TCP445 (SMB) de chaque adresse hôte / IP dans le même sous-réseau et le deuxième thread génère une adresse IP aléatoire sur Internet pour effectuer la même action. Lorsque le malware se connecte avec succès à une machine, une connexion est initiée et les données sont transférées. Le malware exploite la vulnérabilité SMB adressée par Microsoft dans le bulletin MS17-010 (ETERNALBLUE) afin d'implanter la porte dérobée DOUBLEPULSAR. La porte arrière est utilisée pour exécuter WANNACRY sur le nouveau système compromis "

Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur, ils ont trouvé une faille qui permet, d'après les explications plus haut, de créer un service... comme quoi la nécessité d'un pare feu, au moins chez Windows, et dans le cas présent en bloquant le port 445, peut s'avérer une bonne chose.

Brunod

Barnabé2 a écrit" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe ...

Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur,...

Oui, le système windows est conpromis (oups, un beau lapsus calami 🙂 Je le laisse !). Il n'y a pas d'exe sur linux.

Barnabé2

Brunod a écrit
Barnabé2 a écrit" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe ...
Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur,...
Il n'y a pas d'exe sur linux.

Pas d'exe, d'extensions chez Linux, ou pas beaucoup, mais ça ne change rien au problème, si les droits root sont donnés, ou contournés, et s'il y a une faille, un zéro day genre NSA, ça passe, si le kernel n'est pas accessible, il reste la couche applicative..

grandtoubab

GammaDraconis a écritCe ransomware n'a aucun effet sur un système Linux, il a été conçu pour infecter Windows.

Les adeptes du multi boot Windows/Linux devraient se méfier quand même, les données communes cryptées :lol: :lol:

lann

Il me semble que ce virus peut se lancer avec Wine
https://askubuntu.com/questions/914623/what-is-the-wanna-cry-ransomwares-possible-impact-on-linux-users

Barnabé2

Chez Ubuntu, on peut peut être psychoter avec avahi ( zeroconf, " Bonjour " chez Apple ), je serais un hacker, j'irais faire un tour de ce côté, ça sent bon, UFW activé ne bloque pas par défaut le trafic port 5353.

May 17 10:26:04 **PC kernel: [ 2248.601847] [UFW AUDIT] IN= OUT=eth0 SRC=192.168.1.** DST=224.0.0.251 LEN=159 TOS=0x00 PREC=0x00 TTL=255 ID=31601 DF PROTO=UDP SPT=5353 DPT=5353 LEN=139

May 17 10:26:04 **PC kernel: [ 2248.601860] [UFW ALLOW] IN= OUT=eth0 SRC=192.168.1.** DST=224.0.0.251 LEN=159 TOS=0x00 PREC=0x00 TTL=255 ID=31601 DF PROTO=UDP SPT=5353 DPT=5353 LEN=139