Jak šlape ransomware pro Windows pod Linuxem ve Wine?

Seznam kapitol

1. Příprava, zabezpečení 2. Stažené potvory 3. Test, závěr

Položil jsem si otázku, jestli rozběhám pod linuxem i ransomware a jaké škody napáchá. Opravdu hrozí nebezpečí zašifrování obsahu disku, i když používám Linux. A protože jsem zvědavý tak jsem v rámci svých možností provedl alespoň omezenou zkoušku. Jak to dopadlo, se dozvíte v tomto článku.

Reklama

Tak a dostáváme se k testu. Výsledky představím ve třech skupinách.

Vyhazují chyby

První skupina proběhla a vyhodila plně chybu. Takže skupina neúspěšných. Chybové hlášky napovídají, že programy havarují při pokusech číst chráněné části paměti. Tyto kousky pravděpodobně nepoběží ani s připojením k internetu.

Cryptowall

Takže tady mám chybu se kterou se dále v této skupině budu setkávat často. Neošetřená chyba při přístupu ke čtení.

Jak šlape ransomware pro Windows pod Linuxem ve Wine?

Matsun

Hláška zde zobrazena se poměrně dlouho cyklí. Po mnoho cyklech skončí zde vypsaným posledním řádkem.

Enter your family name: Enter your age: Enter a hexadecimal number: Error renaming file: No such file or directory
Hexadecimal: ff
Octal: 377
Unsigned value: 150
Just print the percentage sign %
:Hello, world!:
:  Hello, world!:
:Hello, wor:
:Hello, world!  :
:Hello, world!:
 is a string chars long
Enter your family name: Enter your age: Enter a hexadecimal number: ABCDEFGHIJKLMNOPQRSTUVWXYZwine: Unhandled page fault on read access to 7BBF007F at address 00317A5C (thread 0009), starting debugger…

Petia

Ransomware hodí zde vypsanou chybou hlášku. Jde o variaci na předchozí bez opakování.

test@test-Standard-PC:~/nespoštět virus/Ramsonware/Ransomware.Petya$ wine 4c1dc737915d76b7ce579abddaba74ead6fdb5b519a1ea45308b8c49b950655c.exe 
wine: Unhandled page fault on write access to FFBF1321 at address 00494489 (thread 002e), starting debugger...
wine: could not open working directory L"unix\\home\\test\\nespo\0161t\011bt virus\\Ramsonware\\Ransomware.Petya\\", starting in the Windows directory.

Radamant

Opět velmi podobný výstup.

C:\users\test\Application Data\directx.exewine: Unhandled page fault on read access to 0000000C at address 0040B826 (thread 0009), starting debugger…

RedBoot

Mi nabídl okénkovou hlášku o neotevření skriptu.

Spuštění bez chyb – soubory nešifrované

Druhá skupina proběhla bez odezvy, nebo vyhodila nespecifikovanou chybu. Pozor zde je možno, že v případě aktivního síťového připojení by mohl ransomware pracovat.

Cerbes, Locky, Mamba, PetrWrap, Satana

Tyto potvůrky měly velmi podobné reakce. Wine proběhlo bez komentáře a PlayonLinux vyhodil blíže nespecifikovanou chybu. Přiložené obrázky ukazují reakci pro celou skupinu virů.

Jigsaw

Tuto skupinu obohatil hláškou o úspěšné provedení registrace programu.

Funkční

Vypasana

Třetí skupina je skupinou úspěšných. Obsahuje nakonec jen jeden program . Sice hodil chybu ve Wine, ovšem svůj úkol provedl a soubory zašifroval. Akorát nenapsal žádné významnější upozornění na ploše jako ve Windows.

Výsledek pokusu

Na výsledek mám dva pohledy. Na jednu stranu se mi potvrdila větší bezpečnost proti podezřelým souborům v Linuxu. Na druhou pokud používám Wine, tak si jistý být nemohu.

Takže je potřeba si určit bezpečnostní postupy. Pokud stáhnu něco co chci nainstalovat do v Linuxu ve Wine, není od věci postupovat jako ve Windows. Takže použiji antivirovou kontrolu. Pravděpodobně nelepší volbou pro tyto jednorázové záležitosti bude online služba Virustotal. Zvolíme Choose File a vybereme stažený soubor který před spuštěním chceme kontrolovat. Kontrola bude provedena větším množstvím antivirových scannerů zároveň.