Lilu إنه برنامج فدية جديد معروف أيضًا باسم Lilocked وذاك يهدف إلى إصابة الخوادم المستندة إلى Linuxوهو الشيء الذي حققه بنجاح. بدأت برامج الفدية في إصابة الخوادم في منتصف يوليو ، لكن الهجمات أصبحت أكثر تكرارًا في الأسبوعين الماضيين. أكثر تواترا.
ظهرت أول حالة معروفة لبرنامج Lilocked ransomware عندما قام المستخدم بتحميل ملاحظة إلى معرف Ransomware، وهو موقع ويب تم إنشاؤه لتحديد اسم هذا النوع من البرامج الضارة. هدفك هو الخوادم و الحصول على الوصول إلى الجذر فيهم. الآلية التي يستخدمها للحصول على هذا الوصول لا تزال غير معروفة. والأخبار السيئة هي أنه الآن ، بعد أقل من شهرين ، من المعروف أن Lilu قد أصاب الآلاف من الخوادم التي تعمل بنظام Linux.
يهاجم Lilu خوادم Linux للوصول إلى الجذر
ما يفعله Lilocked ، شيء يمكننا تخمينه من اسمه ، هو الحظر. لكي تكون أكثر تحديدًا ، بمجرد أن يتم الهجوم على الخادم بنجاح ، فإن يتم تأمين الملفات بملحق .lilocked. بمعنى آخر ، تعدل البرامج الضارة الملفات وتغير الامتداد إلى .lilocked وتصبح عديمة الفائدة تمامًا ... إلا إذا دفعت مقابل استعادتها.
بالإضافة إلى تغيير امتداد الملفات ، تظهر ملاحظة أيضًا تقول (باللغة الإنجليزية):
«لقد قمت بتشفير جميع بياناتك الحساسة !!! إنه تشفير قوي ، لذا لا تكن ساذجًا في محاولة استعادته ؛) »
بمجرد النقر فوق ارتباط الملاحظة ، تتم إعادة توجيهها إلى صفحة على الويب المظلم تطلب إدخال المفتاح الموجود في الملاحظة. عند إضافة هذا المفتاح ، مطلوب إدخال 0.03 بيتكوين (294.52 يورو) في محفظة Electrum بحيث يتم إزالة تشفير الملفات.
لا يؤثر على ملفات النظام
لا يؤثر Lilu على ملفات النظام ، ولكن يمكن حظر ملفات أخرى مثل HTML و SHTML و JS و CSS و PHP و INI وتنسيقات الصور الأخرى. هذا يعني ذاك سيعمل النظام بشكل طبيعيإنه فقط أن الملفات المقفلة لن تكون قابلة للوصول. يذكرنا "الاختطاف" إلى حد ما بـ "فيروس الشرطة" ، مع اختلاف أنه منع استخدام نظام التشغيل.
يقول الباحث الأمني Benkow أن ليلوك أثرت على حوالي 6.700 خادم، Lيتم تخزين معظمها مؤقتًا في نتائج بحث Google ، ولكن قد يكون هناك المزيد من العناصر المتأثرة التي لم تتم فهرستها بواسطة محرك البحث الشهير. في وقت كتابة هذا المقال وكما أوضحنا ، الآلية التي يستخدمها Lilu للعمل غير معروفة ، لذلك لا يوجد تصحيح لتطبيقه. يوصى باستخدام كلمات مرور قوية وأن نحافظ دائمًا على تحديث البرنامج جيدًا.
مرحبا! سيكون من المفيد الإعلان عن الاحتياطات الواجب اتخاذها لتجنب الإصابة. قرأت في مقال نشرته عام 2015 أن آلية العدوى لم تكن واضحة لكنها ربما كانت هجومًا عنيفًا. ومع ذلك ، فأنا أعتبر ، نظرًا لعدد الخوادم المصابة (6700) ، أنه من غير المحتمل أن يكون العديد من المسؤولين مهملين جدًا بحيث يقومون بوضع كلمات مرور قصيرة وسهلة الفسخ. مع تحياتي.
من المشكوك فيه حقًا أنه يمكن القول إن لينكس مصاب بفيروس ، وبالمناسبة ، في جافا ، لكي يدخل هذا الفيروس إلى الخادم ، يجب عليه أولاً عبور جدار الحماية الخاص بالموجه ثم جدار خادم لينكس ، ثم على سبيل المثال. -executes "بحيث يطلب الوصول إلى الجذر؟
حتى لو افترضنا أنه يحقق معجزة الجري ، فماذا تفعل للوصول إلى الجذر؟ لأنه حتى التثبيت في وضع غير الجذر ، يكون الأمر صعبًا للغاية لأنه يجب كتابته في crontab في وضع الجذر ، أي ، يجب أن تعرف مفتاح الجذر الذي ستحتاج إلى تطبيق مثل "keyloger" للحصول عليه "يلتقط" ضغطات المفاتيح ، ولكن لا يزال هناك سؤال حول كيفية تثبيت هذا التطبيق؟
ننسى أن نذكر أنه لا يمكن تثبيت تطبيق "داخل تطبيق آخر" إلا إذا جاء من موقع تنزيل جاهز ، ولكن بحلول الوقت الذي يصل فيه إلى جهاز كمبيوتر ، سيكون قد تم تحديثه عدة مرات ، مما يجعل الثغرة الأمنية التي تمت كتابتها لم تعد فعالة.
في حالة Windows ، يكون الأمر مختلفًا تمامًا لأن ملف html مع java scrypt أو php يمكنه إنشاء ملف .bat غير عادي من نفس نوع scrypt وتثبيته على الجهاز لأنه ليس مطلوبًا أن يكون الجذر لهذا النوع من الأهداف