Lilu, ransomware baru menjangkiti ribuan pelayan berasaskan Linux

Miguel Gaton

Minit 2

Lilu meminta wang

Lilu  Ini adalah ransomware baru yang juga dikenali dengan nama Lilocked dan itu bertujuan untuk menjangkiti pelayan berasaskan Linux, sesuatu yang berjaya dicapai olehnya. Ransomware mula menjangkiti pelayan pada pertengahan bulan Julai, tetapi dalam dua minggu terakhir serangan menjadi lebih kerap. Jauh lebih kerap.

Kes ransomware Lilocked yang pertama diketahui apabila pengguna memuat naik nota ke Ransomware ID, laman web yang dibuat untuk mengenal pasti nama jenis perisian berniat jahat ini. Sasaran anda adalah pelayan dan dapatkan akses root pada mereka. Mekanisme yang digunakannya untuk mendapatkan akses tersebut masih belum diketahui. Dan berita buruknya ialah sekarang, kurang dari dua bulan kemudian, Lilu diketahui telah menjangkiti ribuan pelayan berasaskan Linux.

Lilu menyerang pelayan Linux untuk mendapatkan akses root

Apa yang Lilocked lakukan, sesuatu yang dapat kita meneka dari namanya, adalah blok. Untuk lebih spesifik, setelah pelayan berjaya diserang, fail dikunci dengan sambungan .lilocked. Dengan kata lain, perisian berniat jahat mengubah fail, mengubah peluasan menjadi .lilocked, dan mereka menjadi tidak dapat digunakan sepenuhnya ... kecuali anda membayar untuk memulihkannya.

Selain mengubah peluasan fail, sebuah catatan juga muncul yang mengatakan (dalam bahasa Inggeris):

«Saya telah menyulitkan semua data sensitif anda !!! Ini penyulitan yang kuat, jadi jangan naif cuba memulihkannya;) »

Setelah pautan nota diklik, ia akan dialihkan ke halaman di laman web gelap yang meminta untuk memasukkan kunci yang ada di dalam nota tersebut. Apabila kunci seperti itu ditambahkan, 0.03 bitcoin (€ 294.52) diminta untuk dimasukkan di dompet Electrum sehingga penyulitan fail dikeluarkan.

Tidak mempengaruhi fail sistem

Lilu tidak mempengaruhi fail sistem, tetapi yang lain seperti HTML, SHTML, JS, CSS, PHP, INI dan format gambar lain dapat disekat. Ini bermaksud bahawa sistem akan berfungsi seperti biasaCuma fail yang dikunci tidak dapat diakses. "Rampasan" agak mengingatkan pada "virus Polis", dengan perbezaan bahawa ia menghalang penggunaan sistem operasi.

Penyelidik keselamatan Benkow mengatakan bahawa Lilock mempengaruhi kira-kira 6.700 pelayan, LSebilangan besar dari mereka disimpan dalam hasil carian Google, tetapi mungkin ada yang lebih terpengaruh yang tidak diindeks oleh mesin carian terkenal. Pada saat menulis artikel ini dan seperti yang telah kami jelaskan, mekanisme yang digunakan Lilu untuk bekerja tidak diketahui, jadi tidak ada tambalan yang dapat diterapkan. Sebaiknya kita menggunakan kata laluan yang kuat dan sentiasa memperbaharui perisian dengan baik.


Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   DS kata
    membuat 5 tahun

    Helo! Adalah bermanfaat untuk menghebahkan langkah berjaga-jaga untuk mengelakkan jangkitan. Saya membaca dalam artikel dari tahun 2015 bahawa mekanisme jangkitan tidak jelas tetapi mungkin serangan itu adalah serangan brute force. Namun, saya berpendapat, memandangkan jumlah pelayan yang dijangkiti (6700), tidak mungkin begitu banyak pentadbir yang begitu ceroboh untuk meletakkan kata laluan pendek dan mudah rosak. Salam.

    Balas kepada DS
  2.   Jose Villamizar kata
    membuat 4 tahun

    benar-benar diragukan bahawa boleh dikatakan bahawa linux dijangkiti virus dan, secara kebetulan, di java, agar virus ini masuk ke pelayan, mereka mesti terlebih dahulu melintasi firewall penghala dan kemudian pelayan linux, kemudian sebagai "diri" melaksanakan "sehingga meminta akses root?

    walaupun menganggap ia mencapai keajaiban berjalan, apa yang anda lakukan untuk mendapatkan akses root? kerana walaupun memasang dalam mod bukan root sangat sukar kerana ia harus ditulis dalam crontab dalam mod root, iaitu, anda mesti mengetahui kunci root bahawa untuk mendapatkannya, anda memerlukan aplikasi seperti "keyloger" "yang" menangkap "ketukan kekunci, tetapi masih ada persoalan bagaimana memasang aplikasi ini?

    Balas jose villamizar
  3.   Jose Villamizar kata
    membuat 4 tahun

    Lupa untuk menyebutkan bahawa aplikasi tidak dapat dipasang "dalam aplikasi lain" melainkan berasal dari laman web muat turun siap pakai, namun pada saat ia sampai ke komputer, aplikasi itu akan diperbaharui beberapa kali, yang akan membuat kerentanan yang ditulis tidak lagi berkesan.

    Dalam kes windows, sangat berbeza kerana file html dengan java scrypt atau dengan php dapat membuat file .bat yang tidak biasa dari jenis scrypt yang sama dan memasangnya di mesin kerana tidak diperlukan root untuk jenis ini objektif

    Balas jose villamizar