Lilu tā ir jauna ransomware, kas ir pazīstama arī ar nosaukumu Lilocked un tā mērķis ir inficēt serverus, kuru pamatā ir Linux, kaut kas veiksmīgi sasniegts. Izpirkuma programmatūra sāka inficēt serverus jūlija vidū, taču uzbrukumi pēdējās divās nedēļās ir kļuvuši arvien biežāki. Daudz biežāk.
Pirmais zināms gadījums ar izpirkuma programmatūru Lilocked parādījās, kad lietotājs augšupielādēja piezīmi vietnē ID Ransomware, vietne, kas izveidota, lai identificētu šāda veida ļaunprātīgas programmatūras nosaukumu. Jūsu mērķis ir serveri un iegūt root piekļuvi viņos. Mehānisms, ko tā izmanto šīs piekļuves iegūšanai, joprojām nav zināms. Un sliktās ziņas ir tādas, ka tagad, mazāk nekā divus mēnešus vēlāk, ir zināms, ka Lilu inficē tūkstošiem Linux balstītu serveru.
Lilu uzbrūk Linux serveriem, lai iegūtu root piekļuvi
Tas, ko dara Lilocked, kaut ko mēs varam nojaust pēc nosaukuma, ir bloķēts. Konkrētāk, pēc servera veiksmīgas uzbrukuma, faili tiek bloķēti ar paplašinājumu .lilocked. Citiem vārdiem sakot, ļaunprātīgā programmatūra modificē failus, maina paplašinājumu uz .lilocked un kļūst pilnīgi nelietojami ... ja vien nemaksājat par to atjaunošanu.
Papildus failu paplašinājuma maiņai parādās arī piezīme, kurā teikts (angļu valodā):
«Es esmu šifrējis visus jūsu sensitīvos datus !!! Tā ir spēcīga šifrēšana, tāpēc neesiet naivi, mēģinot to atjaunot;) »
Kad noklikšķināts uz piezīmes saites, tā tiek novirzīta uz lapu tumšajā tīmeklī, kurā tiek prasīts ievadīt piezīmē esošo atslēgu. Kad minētā atslēga ir pievienota, Lūdzam ievadīt 0.03 bitkoīnus (294.52 eiro) Electrum makā, lai failu šifrēšana tiktu noņemta.
Neietekmē sistēmas failus
Lilu neietekmē sistēmas failus, bet citus, piemēram, HTML, SHTML, JS, CSS, PHP, INI un citus attēlu formātus, var bloķēt. Tas nozīmē ka sistēma darbosies normāliVienkārši bloķētie faili nebūs pieejami. "Nolaupīšana" nedaudz atgādina "Policijas vīrusu", ar atšķirību, ka tas patiešām neļāva izmantot operētājsistēmu.
Drošības pētnieks Benkovs saka, ka Liloks ir ietekmējis aptuveni 6.700 serverusLLielākā daļa no tām ir saglabātas kešatmiņā Google meklēšanas rezultātos, taču varētu būt vairāk ietekmēto, kuras slavenā meklētājprogramma neindeksē. Šī raksta rakstīšanas laikā un kā mēs esam paskaidrojuši, mehānisms, ko Lilu izmanto darbam, nav zināms, tāpēc nav pielīmējams plāksteris. Ieteicams izmantot stingras paroles un programmatūru vienmēr atjaunināt.
Sveiki! Būtu noderīgi publicēt piesardzības pasākumus, kas jāveic, lai izvairītos no infekcijas. 2015. gada rakstā lasīju, ka infekcijas mehānisms nebija skaidrs, bet tas, iespējams, bija brutālu spēku uzbrukums. Tomēr, ņemot vērā inficēto serveru skaitu (6700), es uzskatu, ka maz ticams, ka tik daudz administratoru būtu tik neuzmanīgi, ka ievietotu īsas, viegli sadalāmas paroles. Sveiciens.
Ir patiešām apšaubāmi, vai var teikt, ka linux ir inficēts ar vīrusu, un, īslaicīgi runājot, java valodā, lai šis vīruss nonāktu serverī, viņiem vispirms ir jāšķērso maršrutētāja ugunsmūris un pēc tam Linux servera ugunsmūris, pēc tam kā " automātiski izpilda ", lai tas pieprasītu root piekļuvi?
pat pieņemot, ka tas sasniedz skriešanas brīnumu, ko jūs darāt, lai iegūtu root piekļuvi? jo pat instalēšana bez root režīmā ir ļoti sarežģīta, jo tā būtu jāraksta crontab saknes režīmā, tas ir, jums jāzina saknes atslēga, ka, lai to iegūtu, jums būs nepieciešama lietojumprogramma, piemēram, "keyloger", kas "notver" taustiņsitienus, taču joprojām ir jautājums, kā šī programma tiktu instalēta?
Aizmirstiet pieminēt, ka lietojumprogrammu nevar instalēt "citā lietojumprogrammā", ja vien tā nav no gatavas lejupielādes vietnes, taču līdz brīdim, kad tā nonāk datorā, tā tiks atjaunināta vairākas reizes, kas padarītu ievainojamību, par kuru tika rakstīts vairs nav efektīva.
Windows gadījumā tas ir ļoti atšķirīgs, jo html fails ar java scrypt vai ar php var izveidot neparastu .bat failu ar tādu pašu scrypt tipu un instalēt to datorā, jo tam nav jābūt root šāda veida mērķim