- Accueil
- » Forum
- » Sécurité
- » Ransomware
Pages : 1
#1 Le 15/05/2017, à 17:24
- heronheronpetitpatapon
Ransomware
Bonjour, juste une petite question!
Savez-vous si le Ransomeware Wanna Cry, peut avoir un impact sur les systèmes basé sur le noyaux Linux ?
Merci
Heronheronpetitpatapon
...Ubuntu Rocks....
Hors ligne
#2 Le 15/05/2017, à 17:29
- abelthorne
Re : Ransomware
Dans sa version actuelle, non, il cible des failles de vieilles versions de Windows. La probabilité d'en voir apparaître une version dérivée qui cible des systèmes Linux est assez faible.
Hors ligne
#3 Le 15/05/2017, à 17:41
- nam1962
Re : Ransomware
...et même si, il faudrait que l'utilisateur valide l'install...
J'en profite justement pour montrer l'[url=[modéré : pas d’auto-pub, merci]-attaques-tranquillite-desprit/]intérêt d'un parc Linux[/url] ou au moins partiellement Linux
[ Modéré ]
Hors ligne
#4 Le 15/05/2017, à 17:47
- GammaDraconis
Re : Ransomware
Ce ransomware n'a aucun effet sur un système Linux, il a été conçu pour infecter Windows.
A noté qu'il ne concerne pas uniquement Windowx XP, Windows Vista et 7 sont aussi touchés et je crois que le 10 c'est pareil (mais Win10 est très peu répendu en entreprise)
Discussion sur mon script de post-install pour Ubuntu 20.04LTS : https://forum.ubuntu-fr.org/viewtopic.php?id=2026344
Lien direct script : https://github.com/simbd/Ubuntu_20.04LTS_PostInstall
Démo vidéo (peertube) : https://video.ploud.fr/videos/watch/fb7 … 0d252ed2db
Hors ligne
#5 Le 15/05/2017, à 19:03
- nam1962
Re : Ransomware
Oui, j'ai vu des dénégations sur W10, mais aussi des gens disant qu'ils sont touchés.
J'ai un peu regardé les détails mais là ça me dépasse un poil (d'autant que je n'ai plus de W$ du tout ) https://www.troyhunt.com/everything-you … ansomware/
[ Modéré ]
Hors ligne
#6 Le 16/05/2017, à 13:28
- Barnabé2
Re : Ransomware
Wannacry se sert du port 445 SMB, il faut donc le fermer en entrée, Windows 10 n'est pas concerné puisque fermé par défaut, Linux non plus, pas de service de ce type ouvert, et ports tous fermés en entrée si UFW / GUFW activés.
Voir dans " Attack types ", SMB une valeur sure.
Dernière modification par Barnabé2 (Le 16/05/2017, à 13:50)
Ubuntu 16.04 LTS
Hors ligne
#7 Le 16/05/2017, à 13:50
- Brunod
Re : Ransomware
Bonjour, juste une petite question!
Savez-vous si le Ransomeware Wanna Cry, peut avoir un impact sur les systèmes basé sur le noyaux Linux ?
Merci
Heronheronpetitpatapon
Je dirai que oui si ce dernier partage des données avec un windows infecté. Apparement, le virus lorsqu'il s'active attaque le dd et tous les périphériques de stockage accessibles, dont clé usb, dd externes et logiquement partages réseau.
Mais il n'aura pas d'impact sur le système linux en tant que tel.
Dernière modification par Brunod (Le 16/05/2017, à 13:50)
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#8 Le 16/05/2017, à 13:59
- Barnabé2
Re : Ransomware
heronheronpetitpatapon a écrit :Bonjour, juste une petite question!
...
Heronheronpetitpatapon...
Mais il n'aura pas d'impact sur le système linux en tant que tel.
Un ransomeware de bonne facture peut se contenter de la couche applicative, Linux ou pas, d'où le danger.
Ubuntu 16.04 LTS
Hors ligne
#9 Le 16/05/2017, à 16:01
- Barnabé2
Re : Ransomware
" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe teste les domaines de substitution de kill. Une fois fait, le service mssecsvc2.0 est créé, c'est une méthode de persistance pour les logiciels malveillants. Ce service exécute "mssecsvc.exe" avec un point d'entrée différent de l'exécution initiale. Cette seconde exécution exécute 2 threads. Le premier thread vérifie l'adresse IP de la machine infectée et tente de se connecter à TCP445 (SMB) de chaque adresse hôte / IP dans le même sous-réseau et le deuxième thread génère une adresse IP aléatoire sur Internet pour effectuer la même action. Lorsque le malware se connecte avec succès à une machine, une connexion est initiée et les données sont transférées. Le malware exploite la vulnérabilité SMB adressée par Microsoft dans le bulletin MS17-010 (ETERNALBLUE) afin d'implanter la porte dérobée DOUBLEPULSAR. La porte arrière est utilisée pour exécuter WANNACRY sur le nouveau système compromis "
Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur, ils ont trouvé une faille qui permet, d'après les explications plus haut, de créer un service... comme quoi la nécessité d'un pare feu, au moins chez Windows, et dans le cas présent en bloquant le port 445, peut s'avérer une bonne chose.
Dernière modification par Barnabé2 (Le 16/05/2017, à 16:08)
Ubuntu 16.04 LTS
Hors ligne
#10 Le 16/05/2017, à 16:55
- Brunod
Re : Ransomware
" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe ...
Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur,...
Oui, le système windows est conpromis (oups, un beau lapsus calami Je le laisse !). Il n'y a pas d'exe sur linux.
Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis
Hors ligne
#11 Le 16/05/2017, à 17:08
- Barnabé2
Re : Ransomware
Barnabé2 a écrit :" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe ...
Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur,...Il n'y a pas d'exe sur linux.
Pas d'exe, d'extensions chez Linux, ou pas beaucoup, mais ça ne change rien au problème, si les droits root sont donnés, ou contournés, et s'il y a une faille, un zéro day genre NSA, ça passe, si le kernel n'est pas accessible, il reste la couche applicative..
Dernière modification par Barnabé2 (Le 16/05/2017, à 17:09)
Ubuntu 16.04 LTS
Hors ligne
#12 Le 16/05/2017, à 17:14
- grandtoubab
Re : Ransomware
Ce ransomware n'a aucun effet sur un système Linux, il a été conçu pour infecter Windows.
Les adeptes du multi boot Windows/Linux devraient se méfier quand même, les données communes cryptées
Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....
Hors ligne
#13 Le 16/05/2017, à 19:11
- lann
Re : Ransomware
Il me semble que ce virus peut se lancer avec Wine
https://askubuntu.com/questions/914623/ … inux-users
Hors ligne
#14 Le 17/05/2017, à 10:35
- Barnabé2
Re : Ransomware
Chez Ubuntu, on peut peut être psychoter avec avahi ( zeroconf, " Bonjour " chez Apple ), je serais un hacker, j'irais faire un tour de ce côté, ça sent bon, UFW activé ne bloque pas par défaut le trafic port 5353.
May 17 10:26:04 **PC kernel: [ 2248.601847] [UFW AUDIT] IN= OUT=eth0 SRC=192.168.1.** DST=224.0.0.251 LEN=159 TOS=0x00 PREC=0x00 TTL=255 ID=31601 DF PROTO=UDP SPT=5353 DPT=5353 LEN=139
May 17 10:26:04 **PC kernel: [ 2248.601860] [UFW ALLOW] IN= OUT=eth0 SRC=192.168.1.** DST=224.0.0.251 LEN=159 TOS=0x00 PREC=0x00 TTL=255 ID=31601 DF PROTO=UDP SPT=5353 DPT=5353 LEN=139
Dernière modification par Barnabé2 (Le 17/05/2017, à 10:44)
Ubuntu 16.04 LTS
Hors ligne
Pages : 1
- Forum
- » Sécurité
- » Ransomware