LiLu det er en ny ransomware som også er kjent under navnet Lilocked og det har som mål å infisere Linux-baserte servere, noe han har oppnådd med suksess. Ransomware begynte å infisere servere i midten av juli, men de siste to ukene har angrepene blitt hyppigere. Mye oftere.
Det første kjente tilfellet av Lilocked ransomware dukket opp da en bruker lastet opp et notat til Ransomware ID, et nettsted opprettet for å identifisere navnet på denne typen skadelig programvare. Målet ditt er servere og få rottilgang i dem. Mekanismen den bruker for å få tilgang er fortsatt ukjent. Og den dårlige nyheten er at Lilu nå, mindre enn to måneder senere, har vært kjent for å ha infisert tusenvis av Linux-baserte servere.
Lilu angriper Linux-servere for å få root-tilgang
Det Lilocked gjør, noe vi kan gjette ut fra navnet, er blokk. For å være mer spesifikk, når serveren er vellykket angrepet, filer er låst med en .lilocked forlengelse. Med andre ord endrer den skadelige programvaren filene, endrer utvidelsen til .lilocked, og de blir helt ubrukelige ... med mindre du betaler for å gjenopprette dem.
I tillegg til å endre filtypen, vises det også et notat som sier (på engelsk):
«Jeg har kryptert alle dine sensitive data !!! Det er sterk kryptering, så vær ikke naiv når du prøver å gjenopprette den;) »
Når lenken til notatet er klikket, blir den omdirigert til en side på det mørke nettet som ber om å legge inn nøkkelen som er i notatet. Når en slik nøkkel er lagt til, 0.03 bitcoins (€ 294.52) bedes oppgis i Electrum-lommeboken slik at kryptering av filene fjernes.
Påvirker ikke systemfiler
Lilu påvirker ikke systemfiler, men andre som HTML, SHTML, JS, CSS, PHP, INI og andre bildeformater kan blokkeres. Dette betyr at systemet vil fungere normaltBare de låste filene er ikke tilgjengelige. "Kapringen" minner noe om "Politi-viruset", med den forskjellen at det forhindret bruken av operativsystemet.
Sikkerhetsforsker Benkow sier at Lilock har påvirket rundt 6.700 servere, lDe fleste av dem er lagret i Googles søkeresultater, men det kan være flere berørte som ikke er indeksert av den berømte søkemotoren. Når vi skrev denne artikkelen, og som vi har forklart, er mekanismen som Lilu bruker for å jobbe ukjent, så det er ingen oppdatering å bruke. Det anbefales at vi bruker sterke passord og at vi alltid holder programvaren oppdatert.
Hallo! Det vil være nyttig å offentliggjøre forholdsregler for å unngå smitte. Jeg leste i en artikkel fra 2015 at infeksjonsmekanismen var uklar, men at det sannsynligvis var et brute force-angrep. Imidlertid vurderer jeg, gitt antall infiserte servere (6700), at det er lite sannsynlig at så mange administratorer vil være så uforsiktige å sette korte, lett å bryte passord. Hilsen.
Det er veldig tvilsomt at det kan sies at linux er infisert med et virus, og, i forbifarten, i java, for at dette viruset skal komme inn på serveren, må de først krysse ruterens brannmur og deretter den til linux-serveren, deretter som ose " kjøres automatisk "slik at den ber root-tilgang?
selv om vi antar at det oppnår miraklet ved å løpe, hva gjør du for å få root-tilgang? fordi selv å installere i ikke-rotmodus er det veldig vanskelig, siden det må skrives i crontab i rotmodus, det vil si at du må vite rotnøkkelen. For å få den trenger du et program som en "keyloger" som "fanger" tastetrykkene, men det er fremdeles spørsmålet hvordan applikasjonen skulle installeres?
Glem å nevne at et program ikke kan installeres "i et annet program" med mindre det kommer fra et ferdig nedlastingsnettsted, men når det når en pc, vil det ha blitt oppdatert flere ganger, noe som vil gjøre sårbarheten som ble skrevet for. er ikke lenger effektiv.
i tilfelle windows er det veldig annerledes siden en html-fil med java scrypt eller med php kan skape en uvanlig .bat-fil av samme scrypt-type og installere den på maskinen siden root ikke er nødvendig for denne typen mål.