Lilu, nieuwe ransomware infecteert duizenden op Linux gebaseerde servers

Miguel Gaton

2 minuten

Lilu vraagt ​​om geld

Lilu  Het is een nieuwe ransomware die ook bekend staat onder de naam Lilocked en zo is bedoeld om op Linux gebaseerde servers te infecteren, iets dat hij met succes heeft bereikt. De ransomware begon medio juli servers te infecteren, maar de afgelopen twee weken kwamen er vaker aanvallen voor. Veel vaker.

Het eerste bekende geval van de Lilocked-ransomware kwam aan het licht toen een gebruiker een notitie uploadde naar ID Ransomware, een website die is gemaakt om de naam van dit soort schadelijke software te identificeren. Uw doel is servers en krijg root-toegang in hen. Het mechanisme dat het gebruikt om die toegang te krijgen, is nog onbekend. En het slechte nieuws is dat het nu, minder dan twee maanden later, bekend is dat Lilu duizenden op Linux gebaseerde servers heeft geïnfecteerd.

Lilu valt Linux-servers aan om root-toegang te krijgen

Wat Lilocked doet, iets dat we aan de naam kunnen raden, is blokkeren. Om specifieker te zijn, zodra de server met succes is aangevallen, het bestanden zijn vergrendeld met de extensie .lilocked. Met andere woorden, de kwaadaardige software wijzigt de bestanden, verandert de extensie in .lilocked, en ze worden totaal onbruikbaar ... tenzij je betaalt om ze te herstellen.

Naast het wijzigen van de bestandsextensie, verschijnt er ook een opmerking met de tekst (in het Engels):

«Ik heb al uw gevoelige gegevens versleuteld !!! Het is een sterke versleuteling, dus wees niet naïef om het te herstellen;) »

Zodra op de link van de notitie is geklikt, wordt deze omgeleid naar een pagina op het dark web die vraagt ​​om de sleutel in de notitie in te voeren. Als zo'n sleutel wordt toegevoegd, Er wordt gevraagd om 0.03 bitcoins (€ 294.52) in te voeren in de Electrum-portemonnee zodat de codering van de bestanden wordt verwijderd.

Heeft geen invloed op systeembestanden

Lilu heeft geen invloed op systeembestanden, maar andere zoals HTML, SHTML, JS, CSS, PHP, INI en andere afbeeldingsindelingen kunnen worden geblokkeerd. Dit betekent dat het systeem zal normaal werkenHet is alleen dat de vergrendelde bestanden niet toegankelijk zijn. De "kaping" doet enigszins denken aan het "Police virus", met het verschil dat het het gebruik van het besturingssysteem verhinderde.

Beveiligingsonderzoeker Benkow zegt dat Lilock heeft ongeveer 6.700 servers getroffen, TheDe meeste worden in de cache opgeslagen in de zoekresultaten van Google, maar er kunnen er meer zijn die niet worden geïndexeerd door de beroemde zoekmachine. Op het moment van schrijven van dit artikel en zoals we hebben uitgelegd, is het mechanisme dat Lilu gebruikt om te werken onbekend, dus er is geen patch om toe te passen. Het wordt aanbevolen dat we sterke wachtwoorden gebruiken en dat we de software altijd goed up-to-date houden.


Laat je reactie achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *

*

*

  1. Verantwoordelijk voor de gegevens: Miguel Ángel Gatón
  2. Doel van de gegevens: Controle SPAM, commentaarbeheer.
  3. Legitimatie: uw toestemming
  4. Mededeling van de gegevens: De gegevens worden niet aan derden meegedeeld, behalve op grond van wettelijke verplichting.
  5. Gegevensopslag: database gehost door Occentus Networks (EU)
  6. Rechten: u kunt uw gegevens op elk moment beperken, herstellen en verwijderen.

  1.   DS zei
    geleden Tot 5 jaar

    Hallo! Het zou nuttig zijn om bekendheid te geven aan de voorzorgsmaatregelen die moeten worden genomen om infectie te voorkomen. Ik las in een artikel uit 2015 dat het infectiemechanisme onduidelijk was, maar dat het waarschijnlijk een brute force-aanval was. Gezien het aantal geïnfecteerde servers (6700) ben ik echter van mening dat het onwaarschijnlijk is dat zoveel beheerders zo onzorgvuldig zouden zijn om korte wachtwoorden te gebruiken die gemakkelijk te kraken zijn. Vriendelijke groeten.

    Reageer op DS
  2.   Jose Villamizar zei
    geleden Tot 4 jaar

    Het valt echt te betwijfelen of het kan worden gezegd dat linux is geïnfecteerd met een virus en, terloops, in java, om dit virus de server te laten binnendringen, moeten ze eerst de firewall van de router passeren en dan die van de linux-server, en vervolgens als 'auto-executes', zodat het vraagt root-toegang?

    zelfs als je ervan uitgaat dat het het wonder van hardlopen bereikt, wat doe je dan om root-toegang te krijgen? omdat zelfs het installeren in niet-root-modus het erg moeilijk is omdat het in crontab in root-modus geschreven zou moeten worden, dat wil zeggen, je moet de root-sleutel kennen om het te verkrijgen heb je een applicatie nodig zoals een "keyloger" die de toetsaanslagen "vangt", maar er is nog de vraag hoe die applicatie zou worden geïnstalleerd?

    Reageer op jose villamizar
  3.   Jose Villamizar zei
    geleden Tot 4 jaar

    Vergeet te vermelden dat een applicatie niet kan worden geïnstalleerd "binnen een andere applicatie", tenzij deze afkomstig is van een kant-en-klare downloadwebsite, maar tegen de tijd dat het een pc bereikt, zal het meerdere keren zijn bijgewerkt, waardoor de kwetsbaarheid waarvoor werd geschreven is niet langer effectief.

    In het geval van Windows is het heel anders omdat een html-bestand met java scrypt of met php een ongebruikelijk .bat-bestand van hetzelfde scrypt-type kan maken en op de machine kan installeren, aangezien het niet vereist is om root te zijn voor dit type doel

    Reageer op jose villamizar