LiLu det er en ny ransomware, der også er kendt under navnet Lilocked og det sigter mod at inficere Linux-baserede servere, noget der er opnået med succes. Ransomware begyndte at inficere servere i midten af juli, men i de sidste to uger er angrebene blevet hyppigere. Meget hyppigere.
Det første kendte tilfælde af Lilocked ransomware kom frem, da en bruger uploadede en note til Ransomware ID, et websted oprettet for at identificere navnet på denne type ondsindet software. Dit mål er servere og få rodadgang i dem. Den mekanisme, den bruger for at få denne adgang, er stadig ukendt. Og den dårlige nyhed er, at Lilu nu, mindre end to måneder senere, har været kendt for at inficere tusindvis af Linux-baserede servere.
Lilu angriber Linux-servere for at få rootadgang
Hvad Lilocked gør, noget vi kan gætte ud fra dets navn, er blokering. For at være mere specifik, når serveren er blevet angrebet med succes, filer er låst med en .lilocked udvidelse. Med andre ord ændrer den ondsindede software filerne, ændrer udvidelsen til .lilocked, og de bliver totalt ubrugelige ... medmindre du betaler for at gendanne dem.
Ud over at ændre filtypen er der også en note, der siger (på engelsk):
«Jeg har krypteret alle dine følsomme data !!! Det er stærk kryptering, så vær ikke naiv og prøv at gendanne den;) »
Når der er klikket på linket til noten, omdirigeres den til en side på det mørke web, der beder om at indtaste den nøgle, der er i noten. Når nøglen er tilføjet, 0.03 bitcoins (€ 294.52) anmodes om at blive indtastet i Electrum-tegnebogen, så filerne krypteres.
Påvirker ikke systemfiler
Lilu påvirker ikke systemfiler, men andre såsom HTML, SHTML, JS, CSS, PHP, INI og andre billedformater kan blokeres. Det betyder at systemet fungerer normaltDet er bare, at de låste filer ikke er tilgængelige. "Kapringen" minder noget om "Politi-viruset" med den forskel, at det forhindrede brugen af operativsystemet.
Sikkerhedsforsker Benkow siger, at Lilock har påvirket omkring 6.700 serverelDe fleste af dem er cachelagrede i Googles søgeresultater, men der kan være flere berørte dem, der ikke er indekseret af den berømte søgemaskine. På tidspunktet for skrivningen af denne artikel, og som vi har forklaret, er den mekanisme, som Lilu bruger til at arbejde, ukendt, så der er ingen patch at anvende. Det anbefales, at vi bruger stærke adgangskoder, og at vi altid holder softwaren opdateret.
Hej! Det ville være nyttigt at offentliggøre de forholdsregler, der skal træffes for at undgå infektion. Jeg læste i en artikel fra 2015, at infektionsmekanismen var uklar, men at det sandsynligvis var et brutalt kraftangreb. Imidlertid mener jeg, i betragtning af antallet af inficerede servere (6700), at det er usandsynligt, at så mange administratorer vil være så skødesløse, at de lægger korte, nemme at bryde adgangskoder. Hilsen.
Det er virkelig tvivlsomt, om det kan siges, at linux er inficeret med en virus, og i øvrigt i java, for at denne virus skal komme ind på serveren, skal de først krydse routerens firewall og derefter linux-serverens, derefter som ose -udfører "så det beder root-adgang?
selv forudsat at det opnår miraklet ved at løbe, hvad gør du for at få rodadgang? fordi selv installation i ikke-rodtilstand er det meget vanskeligt, da det skulle skrives i crontab i rodtilstand, det vil sige, du skal kende rodnøglen, for at du skal få en applikation som en "keyloger" for at få den "fanger" tastetryk, men der er stadig tvivl om, hvordan den applikation ville blive installeret?
Glem at nævne, at et program ikke kan installeres "i et andet program", medmindre det kommer fra et færdigt downloadet websted, men når det når en pc, vil det være blevet opdateret flere gange, hvilket ville gøre sårbarheden, som den blev skrevet til er ikke længere effektiv.
I tilfælde af windows er det meget anderledes, da en html-fil med java scrypt eller med php kan skabe en usædvanlig .bat-fil af samme scrypt-type og installere den på maskinen, da det ikke kræves at være rod for denne type objektiv