Lilu itu adalah ransomware baru yang juga dikenal dengan nama Lilocked dan itu bertujuan untuk menginfeksi server berbasis Linux, sesuatu yang telah dicapai dengan sukses. Ransomware mulai menginfeksi server pada pertengahan Juli, tetapi serangan semakin sering terjadi dalam dua minggu terakhir. Jauh lebih sering.
Kasus pertama yang diketahui dari Lilocked ransomware terungkap saat pengguna mengunggah catatan ke Ransomware ID, situs web yang dibuat untuk mengidentifikasi nama jenis perangkat lunak berbahaya ini. Target Anda adalah server dan dapatkan akses root di dalamnya. Mekanisme yang digunakan untuk mendapatkan akses tersebut masih belum diketahui. Dan kabar buruknya sekarang, kurang dari dua bulan kemudian, Lilu diketahui telah menginfeksi ribuan server berbasis Linux.
Lilu menyerang server Linux untuk mendapatkan akses root
Apa yang dilakukan Lilocked, sesuatu yang bisa kita tebak dari namanya, adalah block. Untuk lebih spesifiknya, setelah server berhasil diserang, file file dikunci dengan ekstensi .lilocked. Dengan kata lain, perangkat lunak berbahaya memodifikasi file, mengubah ekstensi menjadi .lilocked, dan menjadi tidak dapat digunakan sama sekali… kecuali Anda membayar untuk memulihkannya.
Selain mengubah ekstensi file, juga muncul catatan yang mengatakan (dalam bahasa Inggris):
«Saya telah mengenkripsi semua data sensitif Anda !!! Enkripsi yang kuat, jadi jangan naif mencoba memulihkannya;) »
Setelah tautan catatan diklik, itu dialihkan ke halaman di web gelap yang meminta untuk memasukkan kunci yang ada di catatan. Ketika kata kunci ditambahkan, 0.03 bitcoin (€ 294.52) diminta untuk dimasukkan di dompet Electrum sehingga enkripsi file dihapus.
Tidak mempengaruhi file sistem
Lilu tidak mempengaruhi file sistem, tetapi yang lain seperti HTML, SHTML, JS, CSS, PHP, INI dan format gambar lainnya dapat diblokir. Artinya itu sistem akan bekerja secara normalHanya saja file yang dikunci tidak dapat diakses. "Pembajakan" agak mengingatkan pada "virus Polisi", dengan perbedaan bahwa hal itu mencegah penggunaan sistem operasi.
Peneliti keamanan Benkow mengatakan itu Lilock telah mempengaruhi sekitar 6.700 server, TheKebanyakan dari mereka di-cache di hasil pencarian Google, tetapi mungkin ada lebih banyak yang terpengaruh yang tidak diindeks oleh mesin pencari terkenal. Pada saat menulis artikel ini dan seperti yang telah kami jelaskan, mekanisme yang digunakan Lilu untuk bekerja tidak diketahui, jadi tidak ada patch untuk diterapkan. Direkomendasikan agar kami menggunakan kata sandi yang kuat dan kami selalu memperbarui perangkat lunak dengan baik.
Halo! Akan sangat membantu untuk mempublikasikan tindakan pencegahan yang harus diambil untuk menghindari infeksi. Saya membaca di artikel tahun 2015 bahwa mekanisme infeksinya tidak jelas, tetapi kemungkinan itu adalah serangan brute force. Namun, saya mempertimbangkan, mengingat jumlah server yang terinfeksi (6700), tidak mungkin begitu banyak administrator yang ceroboh untuk membuat kata sandi yang pendek dan mudah dibobol. Salam.
Sangat diragukan bahwa dapat dikatakan bahwa linux terinfeksi virus dan, kebetulan, di java, agar virus ini masuk ke server mereka harus terlebih dahulu melewati firewall router dan kemudian server linux, lalu sebagai ose "auto -melaksanakan "sehingga meminta akses root?
bahkan dengan asumsi itu mencapai keajaiban berjalan, apa yang Anda lakukan untuk mendapatkan akses root? karena bahkan menginstal dalam mode non-root itu sangat sulit karena harus ditulis di crontab dalam mode root, yaitu, Anda harus mengetahui kunci root yang untuk mendapatkannya Anda akan memerlukan aplikasi seperti "keyloger" yang "menangkap" penekanan tombol, tetapi masih ada keraguan bagaimana aplikasi itu diinstal?
Lupakan bahwa aplikasi tidak dapat diinstal "di dalam aplikasi lain" kecuali berasal dari situs web unduhan yang sudah jadi, namun pada saat mencapai pc, itu akan diperbarui beberapa kali, yang akan membuat kerentanan yang ditulis tidak lagi efektif.
dalam kasus windows itu sangat berbeda karena file html dengan java scrypt atau dengan php dapat membuat file .bat yang tidak biasa dari jenis scrypt yang sama dan menginstalnya di mesin karena tidak perlu menjadi root untuk tujuan jenis ini