Lilu, новият рансъмуер заразява хиляди Linux-базирани сървъри

Лилу иска пари

Лилу  това е нов рансъмуер, който също е известен с името Lilocked и това има за цел да зарази Linux-базирани сървъри, нещо, което е постигнато успешно. Рансъмуерът започва да заразява сървъри в средата на юли, но атаките стават по-чести през последните две седмици. Много по-често.

Първият известен случай на рансъмуера Lilocked излезе наяве, когато потребител качи бележка в ID рансъмуер, уебсайт, създаден за идентифициране на името на този тип злонамерен софтуер. Вашата цел са сървъри и получите root достъп в тях. Механизмът, който използва, за да получи този достъп, все още е неизвестен. И лошата новина е, че сега, по-малко от два месеца по-късно, Lilu е известно, че заразява хиляди Linux-базирани сървъри.

Lilu атакува Linux сървъри, за да получи root достъп

Това, което Lilocked прави, нещо, което можем да отгатнем от името му, е блок. За да бъдем по-конкретни, след като сървърът е бил успешно атакуван, файловете се заключват с разширение .lilocked. С други думи, зловредният софтуер модифицира файловете, променя разширението на .lilocked и те стават напълно неизползваеми ... освен ако не платите за възстановяването им.

В допълнение към промяната на разширението на файловете, се появява и бележка, която казва (на английски):

«Шифровал съм всички ваши поверителни данни !!! Това е силно криптиране, така че не бъдете наивни, опитвайки се да го възстановите;) »

След като щракнете върху връзката на бележката, тя се пренасочва към страница в тъмната мрежа, която иска да въведе ключа, който е в бележката. Когато споменатият ключ е добавен, Поискано е да бъдат въведени 0.03 биткойни (294.52 евро) в портфейла Electrum, така че да се премахне криптирането на файловете.

Не засяга системните файлове

Lilu не засяга системните файлове, но други като HTML, SHTML, JS, CSS, PHP, INI и други формати на изображения могат да бъдат блокирани. Това означава, че системата ще работи нормалноПросто заключените файлове няма да бъдат достъпни. „Отвличането“ донякъде напомня на „полицейския вирус“, с тази разлика, че е предотвратило използването на операционната система.

Изследователят по сигурността Бенков казва, че Лилок е засегнал около 6.700 сървъралПовечето от тях са кеширани в резултатите от търсенето с Google, но може да има и по-засегнати, които не са индексирани от известната търсачка. По време на писането на тази статия и както обяснихме, механизмът, който Lilu използва, за да работи, е неизвестен, така че няма пластир, който да се приложи. Препоръчително е да използваме надеждни пароли и винаги да поддържаме софтуера добре актуализиран.


3 коментара, оставете своя

Оставете вашия коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *

*

*

  1. Отговорен за данните: Мигел Анхел Гатон
  2. Предназначение на данните: Контрол на СПАМ, управление на коментари.
  3. Легитимация: Вашето съгласие
  4. Съобщаване на данните: Данните няма да бъдат съобщени на трети страни, освен по законово задължение.
  5. Съхранение на данни: База данни, хоствана от Occentus Networks (ЕС)
  6. Права: По всяко време можете да ограничите, възстановите и изтриете информацията си.

  1.   DS каза той

    Здрасти! Полезно би било да се публикуват предпазните мерки, за да се избегне инфекция. Четох в статия от 2015 г., че механизмът на заразяване е неясен, но вероятно е атака с груба сила. Считам обаче, предвид броя на заразените сървъри (6700), че е малко вероятно толкова много администратори да са толкова невнимателни, че да въвеждат кратки и лесни за разбиване пароли. Поздравления.

  2.   Хосе Виламизар каза той

    наистина е съмнително, че може да се каже, че linux е заразен с вирус и, между другото, в java, за да може този вирус да влезе в сървъра, първо трябва да премине през защитната стена на рутера и след това на сървъра на linux, след това като "само- изпълнява ", така че да поиска root достъп?

    дори да приемем, че постига чудото на бягане, какво правите, за да получите root достъп? тъй като дори инсталирането в некоренски режим е много трудно, тъй като ще трябва да се пише в crontab в коренния режим, тоест трябва да знаете коренния ключ, че за да го получите, ще ви е необходимо приложение като "keyloger" "който" улавя "натисканията на клавишите, но все още има съмнение как ще бъде инсталирано това приложение?

  3.   Хосе Виламизар каза той

    Забравете да споменете, че приложението не може да бъде инсталирано "вътре в друго приложение", освен ако не идва от готов уебсайт за изтегляне, но докато достигне компютър, ще бъде актуализирано няколко пъти, което ще направи уязвимостта, за която е написана вече не е ефективно.

    в случая на windows е много различно, тъй като html файл с java scrypt или с php може да създаде необичаен .bat файл от същия тип scrypt и да го инсталира на машината, тъй като не се изисква да бъде root за този тип цел