Petya RansomwareウイルスはLinuxユーザーにどのように影響しますか?
過去48時間以内に、 "Wanna Cry" ランサムウェアに類似したPetyaランサムウェアについて通知を受けました。両方のランサムウェアパッケージはデータを暗号化し、データのロックを解除するために300ドルを要求します。ただし、Petyaの場合、ドイツは返信するメールアドレスを閉鎖しているため、支払いを希望されてもお支払いできません。
誤って72時間以内にオンになったグローバルキルスイッチを備えた「Wanna Cry」とは異なり、「Petya」では、データが暗号化されるのを防ぐためにローカルファイルを作成する必要があります。他のシステムに。
ストーリーを読みます 「Petya」ランサムウェアは潜在的に大きな攻撃の煙幕になる可能性があります システムを保護するためにファイルC:\Windows\perfcを作成し、読み取り専用としてフラグを立てる必要がありますこれには、wineを使用しているLinuxユーザーが含まれます。しかしながら:
コメントセクションで、ユーザーが投稿したファイル名は
C:\Windows\perfc.exeでなければなりません。in Ransomware Vaccine Now Available ファイル名は
C:\Windows\perfc.dllでなければなりません。
Linux Wineユーザーが潜在的な被害者であり、実際の読み取り専用ファイル名はどうあるべきかを誰でも確認できますか?
私はそれを実行しました...
約束どおり、Debian仮想マシンにワインをインストールし、Petyaのサンプルを入手し、直接実行して、rundll32 path,#1を使用しました。通常ユーザーとrootユーザーで、VMまたはそのMBR。
それ自体の伝播方法は?
Petyaは、Eternal Blueエクスプロイトと従来のSMBネットワーク拡散手法を使用します。
Linux向けのこの脆弱性に関連するCVEは次のとおりです。「CVE-2017-7494」は既に修正されています。
perfcおよびperfc.dat:
Symantecは、Petyaがファイル「C:\ Windows\perfc」を作成して、コンピューターが感染したことを示し、「perfc.dat」がそれ自体を実行するために使用することを述べています。
Petyaを停止するには、「C:\ Windows\perfc.dat」という読み取り専用ファイルを作成して、petyaが自分で書き込みおよび実行できないようにする必要があります。
また、「Petya」が実行された場合、「C:\ Windows\perfc」は何らかのキルスイッチです。このファイルを見た後、コンピューターは感染しているとみなされ、他のネットワークデバイスのみに感染しようとします。
暗号化とMBR:
感染後、MBRを変更しようとします。 MBRには、パーティションテーブル、ブートコード、マジックコードの3つのセクションがあります。ブートコードを変更することでブートプロセスをハイジャックできるため、ブートローダーをロードする代わりにメッセージが表示され、そのメッセージの後ろに完全なディスク暗号化が開始されます。最後のメッセージの前に、petyaは表示中に完全なディスク暗号化偽のチェックディスク。
「ワイン」を使用すると、MBRを変更できません(Sudoを使用してワインを実行しない限り)。他のデバイスに感染しようとします。
また、ユーザーmod暗号化も行います。その目的のために、感染後、すべてのドライブで特定の拡張子を探し、最初の1MBの暗号化を開始します。
したがって、wineとrootアクセスを使用して自分で実行しない限り、心配する必要はないようです。
ソース: symantec 。