Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 15/05/2017, à 16:24

heronheronpetitpatapon

Ransomware

Bonjour, juste une petite question!
Savez-vous si le Ransomeware Wanna Cry, peut avoir un impact sur les systèmes basé sur le noyaux Linux ?
Merci
Heronheronpetitpatapon


...Ubuntu Rocks....

Hors ligne

#2 Le 15/05/2017, à 16:29

abelthorne

Re : Ransomware

Dans sa version actuelle, non, il cible des failles de vieilles versions de Windows. La probabilité d'en voir apparaître une version dérivée qui cible des systèmes Linux est assez faible.

Hors ligne

#3 Le 15/05/2017, à 16:41

nam1962

Re : Ransomware

...et même si, il faudrait que l'utilisateur valide l'install...
J'en profite justement pour montrer l'[url=[modéré : pas d’auto-pub, merci]-attaques-tranquillite-desprit/]intérêt d'un parc Linux[/url] ou au moins partiellement Linux wink


[ Modéré ]

Hors ligne

#4 Le 15/05/2017, à 16:47

GammaDraconis

Re : Ransomware

Ce ransomware n'a aucun effet sur un système Linux, il a été conçu pour infecter Windows.

A noté qu'il ne concerne pas uniquement Windowx XP, Windows Vista et 7 sont aussi touchés et je crois que le 10 c'est pareil (mais Win10 est très peu répendu en entreprise)


Discussion sur mon script de post-install pour Ubuntu 20.04LTS : https://forum.ubuntu-fr.org/viewtopic.php?id=2026344
Lien direct script : https://github.com/simbd/Ubuntu_20.04LTS_PostInstall
Démo vidéo (peertube) : https://video.ploud.fr/videos/watch/fb7 … 0d252ed2db

Hors ligne

#5 Le 15/05/2017, à 18:03

nam1962

Re : Ransomware

Oui, j'ai vu des dénégations sur W10, mais aussi des gens disant qu'ils sont touchés.
J'ai un peu regardé les détails mais là ça me dépasse un poil (d'autant que je n'ai plus de W$ du tout tongue ) https://www.troyhunt.com/everything-you … ansomware/


[ Modéré ]

Hors ligne

#6 Le 16/05/2017, à 12:28

Barnabé2

Re : Ransomware

Wannacry se sert du port 445 SMB, il faut donc le fermer en entrée, Windows 10 n'est pas concerné puisque fermé par défaut, Linux non plus, pas de service de ce type ouvert, et ports tous fermés en entrée si UFW / GUFW activés.


http://map.norsecorp.com/#/

Voir dans " Attack types ", SMB une valeur sure.

Dernière modification par Barnabé2 (Le 16/05/2017, à 12:50)


Ubuntu 16.04 LTS

Hors ligne

#7 Le 16/05/2017, à 12:50

Brunod

Re : Ransomware

heronheronpetitpatapon a écrit :

Bonjour, juste une petite question!
Savez-vous si le Ransomeware Wanna Cry, peut avoir un impact sur les systèmes basé sur le noyaux Linux ?
Merci
Heronheronpetitpatapon

Je dirai que oui si ce dernier partage des données avec un windows infecté. Apparement, le virus lorsqu'il s'active attaque le dd et tous les périphériques de stockage accessibles, dont clé usb, dd externes et logiquement partages réseau.
Mais il n'aura pas d'impact sur le système linux en tant que tel.

Dernière modification par Brunod (Le 16/05/2017, à 12:50)


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#8 Le 16/05/2017, à 12:59

Barnabé2

Re : Ransomware

Brunod a écrit :
heronheronpetitpatapon a écrit :

Bonjour, juste une petite question!
...
Heronheronpetitpatapon

...
Mais il n'aura pas d'impact sur le système linux en tant que tel.


Un ransomeware de bonne facture peut se contenter de la couche applicative, Linux ou pas, d'où le danger.


Ubuntu 16.04 LTS

Hors ligne

#9 Le 16/05/2017, à 15:01

Barnabé2

Re : Ransomware

" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe teste les domaines de substitution de kill. Une fois fait, le service mssecsvc2.0 est créé, c'est une méthode de persistance pour les logiciels malveillants. Ce service exécute "mssecsvc.exe" avec un point d'entrée différent de l'exécution initiale. Cette seconde exécution exécute 2 threads. Le premier thread vérifie l'adresse IP de la machine infectée et tente de se connecter à TCP445 (SMB) de chaque adresse hôte / IP dans le même sous-réseau et le deuxième thread génère une adresse IP aléatoire sur Internet pour effectuer la même action. Lorsque le malware se connecte avec succès à une machine, une connexion est initiée et les données sont transférées. Le malware exploite la vulnérabilité SMB adressée par Microsoft dans le bulletin MS17-010 (ETERNALBLUE) afin d'implanter la porte dérobée DOUBLEPULSAR. La porte arrière est utilisée pour exécuter WANNACRY sur le nouveau système compromis "


Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur, ils ont trouvé une faille qui permet, d'après les explications plus haut, de créer un service... comme quoi la nécessité d'un pare feu, au moins chez Windows, et dans le cas présent en bloquant le port 445, peut s'avérer une bonne chose.

Dernière modification par Barnabé2 (Le 16/05/2017, à 15:08)


Ubuntu 16.04 LTS

Hors ligne

#10 Le 16/05/2017, à 15:55

Brunod

Re : Ransomware

Barnabé2 a écrit :

" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe ...

Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur,...

Oui, le système windows est conpromis (oups, un beau lapsus calami smile Je le laisse !).  Il n'y a pas d'exe sur linux.


Windows est un système d'exploitation de l'homme par l'ordinateur. Linux, c'est le contraire...
39 pc linux convertis

Hors ligne

#11 Le 16/05/2017, à 16:08

Barnabé2

Re : Ransomware

Brunod a écrit :
Barnabé2 a écrit :

" Un fichier initial "mssecsvc.exe" drop et exécute "tasksche.exe", cet exe ...
Apparemment, c'est le système qui est compromis dans cette attaque et pas une application genre navigateur,...

Il n'y a pas d'exe sur linux.


Pas d'exe, d'extensions chez Linux, ou pas beaucoup, mais ça ne change rien au problème, si les droits root sont donnés, ou contournés, et s'il y a une faille, un zéro day genre NSA, ça passe, si le kernel n'est pas accessible, il reste la couche applicative..

Dernière modification par Barnabé2 (Le 16/05/2017, à 16:09)


Ubuntu 16.04 LTS

Hors ligne

#12 Le 16/05/2017, à 16:14

grandtoubab

Re : Ransomware

GammaDraconis a écrit :

Ce ransomware n'a aucun effet sur un système Linux, il a été conçu pour infecter Windows.

Les adeptes du multi boot Windows/Linux devraient se méfier quand même, les données communes cryptées lol lol


Linux tout seul sur HP Pavilion DV7 et Acer Aspire T650, Canon MG3650 en wifi
Debian 11 Bullseye Gnome/Xorg, Gnome/Wayland avec SDDM
https://bidouilledebian.wordpress.com/
ON M'A VU DANS LE VERCORS, SAUTER A L'ELASTIQUE..... J'AI DANS LES BOTTES DES MONTAGNES DE QUESTIONS....

Hors ligne

#13 Le 16/05/2017, à 18:11

lann

Re : Ransomware

Il me semble que ce virus peut se lancer avec Wine
https://askubuntu.com/questions/914623/ … inux-users

Hors ligne

#14 Le 17/05/2017, à 09:35

Barnabé2

Re : Ransomware

Chez Ubuntu, on peut peut être psychoter avec avahi ( zeroconf, " Bonjour " chez Apple ), je serais un hacker,  j'irais faire un tour de ce côté, ça sent bon, UFW activé ne bloque pas par défaut le trafic port 5353.


May 17 10:26:04 **PC kernel: [ 2248.601847] [UFW AUDIT] IN= OUT=eth0 SRC=192.168.1.** DST=224.0.0.251 LEN=159 TOS=0x00 PREC=0x00 TTL=255 ID=31601 DF PROTO=UDP SPT=5353 DPT=5353 LEN=139

May 17 10:26:04 **PC kernel: [ 2248.601860] [UFW ALLOW] IN= OUT=eth0 SRC=192.168.1.** DST=224.0.0.251 LEN=159 TOS=0x00 PREC=0x00 TTL=255 ID=31601 DF PROTO=UDP SPT=5353 DPT=5353 LEN=139

Dernière modification par Barnabé2 (Le 17/05/2017, à 09:44)


Ubuntu 16.04 LTS

Hors ligne