Lilu Jedná se o nový ransomware, který je také známý pod jménem Lilocked a tak dále si klade za cíl infikovat servery založené na Linuxu, čehož bylo úspěšně dosaženo. Ransomware začal infikovat servery v polovině července, ale za poslední dva týdny byly útoky stále častější. Mnohem častější.
První známý případ ransomwaru Lilocked vyšel najevo, když si uživatel nahrál poznámku ID Ransomware, web vytvořený za účelem identifikace názvu tohoto typu škodlivého softwaru. Vaším cílem jsou servery a získejte přístup root v nich. Mechanismus, který používá k získání tohoto přístupu, je stále neznámý. A špatnou zprávou je, že nyní, o necelé dva měsíce později, je známo, že Lilu infikuje tisíce serverů založených na Linuxu.
Lilu napadá servery Linux, aby získal přístup root
To, co Lilocked dělá, něco, co můžeme odhadnout z jeho názvu, je blok. Přesněji řečeno, jakmile bude server úspěšně napaden, soubory jsou uzamčeny s příponou .lilocked. Jinými slovy, škodlivý software upraví soubory, změní příponu na .lilocked a stanou se naprosto nepoužitelnými… pokud nezaplatíte jejich obnovení.
Kromě změny přípony souboru se zobrazí také poznámka, která říká (v angličtině):
«Zašifroval jsem všechna vaše citlivá data !!! Je to silné šifrování, takže se nemusíte naivně pokoušet obnovit;) »
Jakmile kliknete na odkaz poznámky, bude přesměrován na stránku na temném webu, která požaduje zadání klíče, který je v poznámce. Když je takový klíč přidán, Je požadováno zadání 0.03 bitcoinu (294.52 EUR) v peněžence Electrum, aby bylo odstraněno šifrování souborů.
Neovlivňuje systémové soubory
Lilu neovlivňuje systémové soubory, ale jiné jako HTML, SHTML, JS, CSS, PHP, INI a další obrazové formáty lze blokovat. Tohle znamená tamto systém bude fungovat normálněJe to jen to, že zamčené soubory nebudou přístupné. „Únos“ poněkud připomíná „policejní virus“, s tím rozdílem, že znemožnil použití operačního systému.
Výzkumník bezpečnosti Benkow říká, že Lilock ovlivnilo asi 6.700 XNUMX serverůlVětšina z nich je uložena do mezipaměti ve výsledcích vyhledávání Google, ale mohlo by jich být více, které nejsou indexovány slavným vyhledávačem. V době psaní tohoto článku a jak jsme vysvětlili, mechanismus, který Lilu používá k práci, není znám, takže není třeba aplikovat žádnou opravu. Doporučujeme používat silná hesla a neustále aktualizovat software.
Ahoj! Bylo by užitečné zveřejnit opatření, která je třeba přijmout, aby se zabránilo infekci. V článku z roku 2015 jsem četl, že mechanismus infekce byl nejasný, ale že to byl pravděpodobně útok hrubou silou. Domnívám se však, vzhledem k počtu infikovaných serverů (6700 XNUMX), že je nepravděpodobné, že by tolik administrátorů bylo tak neopatrných, aby zadávali krátká a snadno prolomitelná hesla. Pozdravy.
Je opravdu pochybné, že lze říci, že linux je napaden virem a mimochodem, v javě, aby se tento virus dostal na server, musí nejprve projít firewall routeru a poté firewall linuxového serveru, poté jako ose " automaticky provede "tak, že požádá o přístup root"?
i když za předpokladu, že dosáhne zázraku běhu, co děláte pro získání přístupu root? protože i instalace v režimu bez oprávnění root je velmi obtížná, protože by se musela psát v crontabu v režimu root, to znamená, že musíte znát kořenový klíč, který k jeho získání potřebujete aplikaci, jako je „keyloger“, který „zachycuje“ stisknutí kláves, ale stále existuje otázka, jak by byla tato aplikace nainstalována?
Zapomeňte na to, že aplikaci nelze instalovat „v jiné aplikaci“, pokud nepochází z webu pro stahování, ale než se dostane k počítači, bude několikrát aktualizován, což by způsobilo zranitelnost, pro kterou byla napsána již není efektivní.
V případě systému Windows je to velmi odlišné, protože soubor html s java scryptem nebo php může vytvořit neobvyklý soubor .bat stejného typu scrypt a nainstalovat jej do počítače, protože pro tento typ souboru nemusí být root. objektivní