Lilu To je novi ransomware koji je poznat i pod imenom Lilocked i to ima za cilj zaraziti poslužitelje temeljene na Linuxu, nešto što je uspješno postigao. Ransomware je počeo zaražavati poslužitelje sredinom srpnja, no napadi su učestali u posljednja dva tjedna. Mnogo češće.
Prvi poznati slučaj ransomwarea Lilocked pojavio se kad je korisnik prenio bilješku u ID Ransomware, web stranica stvorena za identificiranje naziva ove vrste zlonamjernog softvera. Cilj su vam poslužitelji i dobiti root pristup u njima. Mehanizam koji koristi za dobivanje tog pristupa još uvijek je nepoznat. A loša vijest je da je sada, nepuna dva mjeseca kasnije, poznato da je Lilu zarazio tisuće poslužitelja temeljenih na Linuxu.
Lilu napada Linux poslužitelje kako bi dobio root pristup
Ono što Lilocked radi, nešto što možemo pretpostaviti iz njegovog imena, je blok. Točnije, nakon što je poslužitelj uspješno napadnut, datoteke se zaključavaju s nastavkom .lilocked. Drugim riječima, zlonamjerni softver mijenja datoteke, mijenja proširenje u .lilocked i one postaju potpuno beskorisne ... osim ako ne platite njihovo vraćanje.
Uz promjenu nastavka datoteke, pojavljuje se i bilješka koja kaže (na engleskom):
«Šifrirao sam sve vaše osjetljive podatke !!! To je snažna enkripcija, zato nemojte biti naivni u pokušaju da je vratite;) »
Nakon što se klikne na vezu bilješke, ona se preusmjerava na stranicu na tamnom webu koja traži unos ključa u bilješci. Kad se doda takav ključ, Traži se unos 0.03 bitcoina (294.52 €) u Electrum novčaniku tako da se ukloni šifriranje datoteka.
Ne utječe na sistemske datoteke
Lilu ne utječe na sistemske datoteke, ali drugi kao što su HTML, SHTML, JS, CSS, PHP, INI i drugi formati slika mogu biti blokirani. Ovo znači to sustav će raditi normalnoSamo zaključanim datotekama neće biti dostupan. "Otmica" pomalo podsjeća na "policijski virus", s tom razlikom što je spriječio upotrebu operativnog sustava.
Istraživač sigurnosti Benkow kaže da Lilock utjecao je na oko 6.700 poslužitelja,Većina ih je predmemorirana u Googleovim rezultatima pretraživanja, ali moglo bi biti još pogođenih koji nisu indeksirani poznatom tražilicom. U vrijeme pisanja ovog članka i kao što smo objasnili, mehanizam koji Lilu koristi za rad je nepoznat, tako da nema zakrpe koja bi se mogla primijeniti. Preporučujemo da koristimo jake lozinke i da softver redovito ažuriramo.
Zdravo! Bilo bi korisno objaviti mjere predostrožnosti kako bi se izbjegla infekcija. Čitao sam u članku iz 2015. da je mehanizam zaraze nejasan, ali da je vjerojatno riječ o napadu grubom silom. Međutim, smatram, s obzirom na broj zaraženih poslužitelja (6700), da je malo vjerojatno da bi toliko administratora bilo toliko neoprezno da bi postavilo kratke lozinke koje je lako razbiti. Pozdrav.
Zaista je sumnjivo da se može reći da je linux zaražen virusom i, usput rečeno, u javi, da bi taj virus ušao na poslužitelj, prvo moraju prijeći vatrozid usmjerivača, a zatim i Linux poslužitelj, a zatim kao "automatsko izvršavanje" tako da zatraži root pristup?
čak i pod pretpostavkom da postiže čudo u pokretanju, što radite da biste dobili root pristup? jer je čak i instaliranje u nekorentskom načinu rada vrlo teško, jer bi to trebalo biti zapisano u crontab u korijenskom načinu, to jest, morate znati root ključ da bi vam trebala aplikacija kao što je "keyloger" koji "snima" pritiske tipki, još uvijek postoji pitanje kako bi se taj program instalirao?
Zaboravite spomenuti da se aplikacija ne može instalirati "unutar druge aplikacije", osim ako dolazi s gotovog web mjesta za preuzimanje, no dok dođe do računala bit će nekoliko puta ažurirana, što bi stvorilo ranjivost za koju je napisano više nije na snazi.
U slučaju Windows-a, to je vrlo različito jer html datoteka s Java scryptom ili s php-om može stvoriti neobičnu .bat datoteku istog tipa scrypt-a i instalirati je na stroj jer za ovu vrstu cilja nije potreban root