Lilu ، باج افزار جدید هزاران سرور مبتنی بر Linux را آلوده می کند

لیلو خواستار پول است

Lilu  این یک باج افزار جدید است که با نام Lilocked نیز شناخته می شود با هدف آلوده کردن سرورهای مبتنی بر Linux است، چیزی که او با موفقیت به آن رسیده است. باج افزار از اواسط ماه جولای آلوده به سرورها شد ، اما در دو هفته گذشته حملات بیشتر شده است. خیلی بیشتر.

اولین پرونده شناخته شده باج افزار Lilocked هنگامی که کاربر یادداشتی را در آن بارگذاری کرد ، آشکار شد شناسه Ransomware، وب سایتی ایجاد شده است تا نام این نوع نرم افزارهای مخرب را شناسایی کند. هدف شما سرورها و دسترسی ریشه پیدا کنید در آنها. مکانیزمی که برای دستیابی به آن استفاده می کند هنوز ناشناخته است. و خبر بد این است که اکنون ، کمتر از دو ماه بعد ، شناخته شده است که لیلو هزاران سرور مبتنی بر Linux را آلوده کرده است.

Lilu برای دسترسی ریشه به سرورهای Linux حمله می کند

کاری که Lilocked انجام می دهد ، کاری که می توانیم از اسم آن حدس بزنیم ، block است. برای خاص تر شدن ، هنگامی که سرور با موفقیت مورد حمله قرار گرفت ، پرونده ها با پسوند .lilocked قفل شده اند. به عبارت دیگر ، نرم افزار مخرب پرونده ها را اصلاح می کند ، پسوند را به .lilocked تغییر می دهد و آنها کاملاً بی فایده هستند ... مگر اینکه برای بازیابی آنها هزینه کنید.

علاوه بر تغییر پسوند پرونده ها ، یادداشتی نیز ظاهر می شود که به زبان انگلیسی می گوید:

«من تمام اطلاعات حساس شما را رمزگذاری کرده ام !!! این رمزگذاری قوی است ، بنابراین در تلاش برای بازیابی آن ساده لوح نباشید؛) »

پس از کلیک پیوند یادداشت ، به صفحه ای در وب تاریک هدایت می شود که می خواهد کلیدی را در یادداشت وارد کنید. وقتی کلید گفته شده اضافه شد ، 0.03 بیت کوین (294.52 یورو) درخواست می شود وارد شود در کیف پول Electrum تا رمزگذاری پرونده ها برداشته شود.

روی پرونده های سیستم تأثیر نمی گذارد

Lilu بر روی پرونده های سیستم تأثیر نمی گذارد ، اما سایر موارد مانند HTML ، SHTML ، JS ، CSS ، PHP ، INI و سایر قالب های تصویر را می توان مسدود کرد. این بدان معنی است که سیستم به طور معمول کار خواهد کردفقط اینکه پرونده های قفل شده قابل دسترسی نیستند. "هواپیماربایی" تا حدی یادآور "ویروس پلیس" است ، با این تفاوت که مانع استفاده از سیستم عامل شد.

بنکوو ، محقق امنیتی می گوید که لیلوک حدود 6.700،XNUMX سرور را تحت تأثیر قرار داده استLبیشتر آنها در نتایج جستجوی Google پنهان شده اند ، اما ممکن است موارد تحت تأثیر بیشتری وجود داشته باشند که توسط موتور جستجوی معروف نمایه نشده اند. در زمان نوشتن این مقاله و همانطور که توضیح دادیم ، مکانیزمی که لیلو برای کار استفاده می کند شناخته شده نیست ، بنابراین هیچ وصله ای برای اعمال وجود ندارد. توصیه می شود که ما از رمزهای عبور قوی استفاده کنیم و همیشه نرم افزار را به روز کنیم.


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

3 نظر ، نظر خود را بگذارید

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.

  1.   DS dijo

    سلام! تبلیغ اقدامات احتیاطی برای جلوگیری از عفونت مفید خواهد بود. من در مقاله ای در سال 2015 خواندم که مکانیسم عفونت نامشخص است اما احتمالاً حمله ای بی رحمانه است. با این حال ، با توجه به تعداد سرورهای آلوده (6700،XNUMX) ، بعید می دانم که بسیاری از سرپرستان برای قرار دادن رمزهای عبور کوتاه و شکستنی ، سهل انگاری کنند. با احترام.

  2.   خوزه ویلامیزار dijo

    واقعاً جای تردید است که می توان گفت linux به ویروس آلوده است و در گذر از جاوا ، برای ورود این ویروس به سرور ابتدا باید از فایروال روتر و سپس از سرور linux عبور کنند ، سپس به عنوان ose " خودکار اجرا می شود "به طوری که از دسترسی ریشه می خواهد؟

    حتی با فرض رسیدن به معجزه دویدن ، چه کاری برای دستیابی به دسترسی ریشه انجام می دهید؟ زیرا حتی نصب در حالت غیر روت نیز بسیار دشوار است زیرا باید در حالت ریشه با crontab نوشته شود ، یعنی باید کلید ریشه را بدانید که برای بدست آوردن آن به برنامه ای مانند "keyloger" نیاز دارید که "ضبط" کلیدها را انجام می دهد ، اما هنوز این سوال وجود دارد که چگونه آن برنامه نصب می شود؟

  3.   خوزه ویلامیزار dijo

    فراموش نکنید که یک برنامه نمی تواند "در داخل یک برنامه دیگر" نصب شود ، مگر اینکه از یک وب سایت بارگیری شده آماده باشد ، اما با رسیدن به رایانه چندین بار به روز می شود ، این آسیب پذیری را که برای آن نوشته شده است ایجاد می کند دیگر م effectiveثر نیست.

    در مورد ویندوز ، این بسیار متفاوت است زیرا یک فایل html با java scrypt یا با php می تواند یک فایل bat غیر معمول از همان نوع scrypt ایجاد کرده و آن را بر روی دستگاه نصب کند زیرا نیازی به root بودن این نوع اهداف نیست.