Ubuntu 17.04 その74 - Wanna CryptorがUbuntuで動作する

Wanna CryptorがUbuntuで動作する

「Ubuntu」でも「Wanna Cryptor」が動作するとの報告があります。


とは言え「Ubuntu」で「Wanna Cryptor」が動作するには、いくつか前提条件が必要になります。

少なくともクリーインストール直後の「Ubuntu」では、「Wanna Cryptor」は動作しません。

• What is the “Wanna Cry” ransomware's possible impact on Linux users?

Wine大丈夫？

Microsoft Windowsをターゲットとしたランサムウェアの存在が明るみになった。
このランサムウェアはストレージのデータを暗号化し、元に戻すには$300を要求する。

Microsoftは2017年3月14日、この脆弱性に対応したMS17-010パッチをリリースした。
しかし2017年4月14日に、ランサムウェアの大量感染が拡大し始めたと報告されている。
この点については、以下で議論されている。

• Call to Microsoft to release information about MS17-010

Microsoft/Windowsの自動更新を有効にしている個人や小規模な企業は、セキュリティーパッチが適用されているため、このランサムウェアには感染しない。

しかし大規模な組織では、全社的にセキュリティーパッチを導入する前に組織のインフラテストを行うため、セキュリティーパッチの適用を遅らせている組織もある。
このような組織では、感染する可能性が高い。

2017年5月13日、Microsoftはサポートが終了して3年が経過するWindows XPに対してもセキュリティーパッチをリリースする異例の対応を取った。 

Wineがセキュリティーアップデートについてどうしているのかは不明だ。
LinuxでWineを利用しているユーザーにもこのランサムウェアが感染するとの報告があった。（※1）

もしユーザーがWineを使っているとしたら、Linuxユーザーはこのランサムウェアからシステムを保護するため、どのような手順を踏めば良いのだろうか？

（※1）Linux上でWCry 2.0が動作したとのことです。

Great news everyone! WCry 2.0 functions PERFECTLY under Wine, you can infect your Linux desktops too if you are so inclined! ;-) pic.twitter.com/kP2IC8YJ5m

— Hacker Fantastic (@hackerfantastic) 2017年5月13日

ディストリビューションやWineのバージョンが不明ですが、少なくともLinux上で「Wanna Cryptor 2.0」が動作する環境がある、ということになります。

どこから感染するのか？

メール経由である。
基本的にメールを開き、添付ファイルをダウンロードし、添付ファイルを開く（実行する）ことで感染する。

Wineを利用することで感染するのか？

感染する。

WineはWindows環境の振る舞いをエミュレーションするため、悪意あるソフトウェアはどうやって感染すれば良いのか、実際にその方法を探し出すことができる。

最悪の場合、WineはUbuntuのシステムに直接アクセスできるため、ユーザーのホームフォルダー（~）以下のファイルや、ユーザーの書き込み権限のあるファイルがすべて影響を受けるだろう。

とは言え、NTFSやFATでフォーマットされていないボリューム上のファイルをどう暗号化するのか、一般ユーザーには操作権限のない操作に対してどうするのか、例えWine上での動作であっても悪意あるソフトウェアがWindows上のように完全な動作を行うには、多くの障害がある。

ともかくだ、安全を優先に考え行動したほうが良い。

VirtualBoxでのテスト

Ubuntu（ホストOS）上で動作するVirtualBoxにWindowsをインストールした4台の仮想マシンを用意し、3日間感染テストを行った。
4台の仮想マシンは同じネットワークに属している。

最初に1台の仮想マシンに意図的にランサムウェアを感染させた。

3日後、4台の仮想マシンはすべて感染し、ファイルが暗号化され例のメッセージが表示された。

一方Ubuntuは全く影響を受けなかった。
各仮想マシンにUbuntuとの共有フォルダーを作成したが、Ubuntu側のファイルは全く影響を受けなかった。

Wine上での感染

不幸にもUbuntu 17.04（64bit）のWine上でランサムウェアが動作し、私のデスクトップフォルダーとミュージックフォルダーがやられた。

ただ他のボリュームのフォルダーは、影響を受けなかった。
その時他のボリュームはマウントしていなかったんだと思う。

また上記の結果（ランサムウェアが動作）になるには、Wineをsudoで実行する必要があった。

Wineでの注意事項

Windowsでは、出所不明なアプリを実行しない、不用意に添付ファイルを開かないなど、セキュリティー上注意すべき事項がよく挙げられます。
これはWineでも同じです。

Wine上で以下の作業は避けましょう。

• Wine上のアプリでメールを開く
• Wine上のアプリでDropboxのリンクを開く
• Wine上のアプリでインターネット上のサイトにアクセスする

感染テストや事例に関し具体的な手順等詳細は書かれていませんし、今ひとつ不明なところもありますが、用心するに越したことはないでしょう。
詳細な情報は悪用されかねないという懸念があるのかもしれません。

Windowsのブラウザーやメールクライアントソフトなど「Ubuntu」でも利用可能なアプリをわざわざWine上で実行する必要はありませんし、例えそうでなかったとしても積極的な利用は避けたほうが良いでしょう。

また万が一に備え、バックアップは作成しておきましょう。