Lilu, ny ransomware inficerer tusindvis af Linux-baserede servere

Lilu beder om penge

LiLu  det er en ny ransomware, der også er kendt under navnet Lilocked og det sigter mod at inficere Linux-baserede servere, noget der er opnået med succes. Ransomware begyndte at inficere servere i midten af ​​juli, men i de sidste to uger er angrebene blevet hyppigere. Meget hyppigere.

Det første kendte tilfælde af Lilocked ransomware kom frem, da en bruger uploadede en note til Ransomware ID, et websted oprettet for at identificere navnet på denne type ondsindet software. Dit mål er servere og få rodadgang i dem. Den mekanisme, den bruger for at få denne adgang, er stadig ukendt. Og den dårlige nyhed er, at Lilu nu, mindre end to måneder senere, har været kendt for at inficere tusindvis af Linux-baserede servere.

Lilu angriber Linux-servere for at få rootadgang

Hvad Lilocked gør, noget vi kan gætte ud fra dets navn, er blokering. For at være mere specifik, når serveren er blevet angrebet med succes, filer er låst med en .lilocked udvidelse. Med andre ord ændrer den ondsindede software filerne, ændrer udvidelsen til .lilocked, og de bliver totalt ubrugelige ... medmindre du betaler for at gendanne dem.

Ud over at ændre filtypen er der også en note, der siger (på engelsk):

«Jeg har krypteret alle dine følsomme data !!! Det er stærk kryptering, så vær ikke naiv og prøv at gendanne den;) »

Når der er klikket på linket til noten, omdirigeres den til en side på det mørke web, der beder om at indtaste den nøgle, der er i noten. Når nøglen er tilføjet, 0.03 bitcoins (€ 294.52) anmodes om at blive indtastet i Electrum-tegnebogen, så filerne krypteres.

Påvirker ikke systemfiler

Lilu påvirker ikke systemfiler, men andre såsom HTML, SHTML, JS, CSS, PHP, INI og andre billedformater kan blokeres. Det betyder at systemet fungerer normaltDet er bare, at de låste filer ikke er tilgængelige. "Kapringen" minder noget om "Politi-viruset" med den forskel, at det forhindrede brugen af ​​operativsystemet.

Sikkerhedsforsker Benkow siger, at Lilock har påvirket omkring 6.700 serverelDe fleste af dem er cachelagrede i Googles søgeresultater, men der kan være flere berørte dem, der ikke er indekseret af den berømte søgemaskine. På tidspunktet for skrivningen af ​​denne artikel, og som vi har forklaret, er den mekanisme, som Lilu bruger til at arbejde, ukendt, så der er ingen patch at anvende. Det anbefales, at vi bruger stærke adgangskoder, og at vi altid holder softwaren opdateret.


Indholdet af artiklen overholder vores principper for redaktionel etik. Klik på for at rapportere en fejl her.

3 kommentarer, lad dine

Efterlad din kommentar

Din e-mailadresse vil ikke blive offentliggjort. Obligatoriske felter er markeret med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Control SPAM, management af kommentarer.
  3. Legitimering: Dit samtykke
  4. Kommunikation af dataene: Dataene vil ikke blive kommunikeret til tredjemand, undtagen ved juridisk forpligtelse.
  5. Datalagring: Database hostet af Occentus Networks (EU)
  6. Rettigheder: Du kan til enhver tid begrænse, gendanne og slette dine oplysninger.

  1.   DS sagde han

    Hej! Det ville være nyttigt at offentliggøre de forholdsregler, der skal træffes for at undgå infektion. Jeg læste i en artikel fra 2015, at infektionsmekanismen var uklar, men at det sandsynligvis var et brutalt kraftangreb. Imidlertid mener jeg, i betragtning af antallet af inficerede servere (6700), at det er usandsynligt, at så mange administratorer vil være så skødesløse, at de lægger korte, nemme at bryde adgangskoder. Hilsen.

  2.   Jose Villamizar sagde han

    Det er virkelig tvivlsomt, om det kan siges, at linux er inficeret med en virus, og i øvrigt i java, for at denne virus skal komme ind på serveren, skal de først krydse routerens firewall og derefter linux-serverens, derefter som ose -udfører "så det beder root-adgang?

    selv forudsat at det opnår miraklet ved at løbe, hvad gør du for at få rodadgang? fordi selv installation i ikke-rodtilstand er det meget vanskeligt, da det skulle skrives i crontab i rodtilstand, det vil sige, du skal kende rodnøglen, for at du skal få en applikation som en "keyloger" for at få den "fanger" tastetryk, men der er stadig tvivl om, hvordan den applikation ville blive installeret?

  3.   Jose Villamizar sagde han

    Glem at nævne, at et program ikke kan installeres "i et andet program", medmindre det kommer fra et færdigt downloadet websted, men når det når en pc, vil det være blevet opdateret flere gange, hvilket ville gøre sårbarheden, som den blev skrevet til er ikke længere effektiv.

    I tilfælde af windows er det meget anderledes, da en html-fil med java scrypt eller med php kan skabe en usædvanlig .bat-fil af samme scrypt-type og installere den på maskinen, da det ikke kræves at være rod for denne type objektiv