Lilu See on uus lunavara, mida tuntakse ka Lilockedi nime all ja nii eesmärk on nakatada Linuxipõhiseid servereid, mida ta on edukalt saavutanud. Lunavara hakkas nakatama servereid juuli keskel, kuid viimase kahe nädala jooksul on rünnakud sagenenud. Palju sagedamini.
Esimene teadaolev Lilockedi lunavara juhtum tuli ilmsiks siis, kui kasutaja laadis üles märkme ID lunavara, veebisait, mis on loodud seda tüüpi pahatahtliku tarkvara nime tuvastamiseks. Teie eesmärk on serverid ja saada juurjuurdepääs neis. Mehhanism, mida ta selle juurdepääsu saamiseks kasutab, pole siiani teada. Ja halb uudis on see, et nüüd, vähem kui kaks kuud hiljem, on Lilu nakatanud tuhandeid Linuxi-põhiseid servereid.
Lilu ründab Linuxi servereid juurjuurdepääsu saamiseks
See, mida Lilocked teeb, on midagi, mida võime selle nime järgi aimata, blokeeritud. Täpsemalt öeldes, kui server on edukalt rünnatud, siis failid on lukustatud .lilocked laiendiga. Teisisõnu, pahatahtlik tarkvara muudab faile, muudab laiendiks .lilocked ja need muutuvad täiesti kasutuskõlbmatuks ... kui te nende taastamise eest ei maksa.
Lisaks faililaiendi muutmisele ilmub ka märkus, mis ütleb (inglise keeles):
«Olen kõik teie tundlikud andmed krüptinud !!! See on tugev krüptimine, nii et ärge naiivne proovige seda taastada;) »
Kui märkuse lingil on klõpsatud, suunatakse see tumeda veebi lehele, kus palutakse sisestada märkmes olev võti. Kui selline võti lisatakse, 0.03 bitcoini (294.52 eurot) palutakse sisestada Electrumi rahakotis, nii et failide krüptimine eemaldatakse.
Ei mõjuta süsteemifaile
Lilu ei mõjuta süsteemifaile, kuid teised, näiteks HTML, SHTML, JS, CSS, PHP, INI ja muud pildivormingud, saab blokeerida. See tähendab seda süsteem töötab normaalseltLihtsalt lukustatud failidele pole juurdepääsu. "Kaaperdamine" meenutab mõnevõrra "politsei viirust", selle erinevusega, et see takistas operatsioonisüsteemi kasutamist.
Turvauurija Benkow ütleb, et Lilock on mõjutanud umbes 6.700 serverit, lEnamik neist on Google'i otsingutulemustes vahemällu salvestatud, kuid mõjutatud võiks olla rohkem, mida kuulus otsingumootor ei indekseeri. Selle artikli kirjutamise ajal ja nagu me oleme selgitanud, pole Lilu töötamiseks kasutatav mehhanism teada, seega pole plaastrit kasutada. Soovitame kasutada tugevaid paroole ja hoida tarkvara alati hästi ajakohasena.
Tere! Nakatumise vältimiseks oleks kasulik avalikustada ettevaatusabinõud. Ma lugesin 2015. aasta artiklist, et nakkusmehhanism oli ebaselge, kuid tõenäoliselt oli see toore jõu rünnak. Arvestades nakatunud serverite arvu (6700), leian siiski, et on ebatõenäoline, et nii paljud administraatorid oleksid nii hoolimatud, et paneksid lühikesi ja kergesti purustatavaid paroole. Tervitused.
On tõepoolest kaheldav, kas võib öelda, et linux on nakatunud viirusega ja möödaminnes jaavas peavad selle viiruse serverisse sisenemiseks esmalt ületama ruuteri tulemüüri ja seejärel Linuxi serveri tulemüüri, seejärel nagu ose " käivitab automaatselt juurjuurdepääsu küsimiseks?
isegi kui eeldada, et see saavutab jooksmise ime, mida teete juurjuurdepääsu saamiseks? sest isegi mitte-juurrežiimis installimine on väga keeruline, kuna see peaks olema kirjutatud crontabis juurrežiimis, see tähendab, et peate teadma juurvõtit, et selle saamiseks vajate rakendust nagu "keyloger", mis "lööb" klahvivajutusi, kuid ikkagi on küsimus, kuidas see rakendus installitakse?
Unustage mainida, et rakendust ei saa installida "teise rakenduse sisse", välja arvatud juhul, kui see pärineb valmis allalaadimise veebisaidilt, kuid arvutisse jõudmise ajaks on seda mitu korda värskendatud, mis muudaks selle kirjutatud haavatavuse ei ole enam efektiivne.
Windowsi puhul on see väga erinev, kuna Java-krüptiga või php-ga HTML-fail võib luua ebatavalise sama krüptitüübiga .bat-faili ja installida selle arvutisse, kuna seda tüüpi rootori jaoks ei pea olema root objektiivne