Lilu, nowe oprogramowanie ransomware infekuje tysiące serwerów opartych na systemie Linux

Miguel Gaton

2 minut

Lilu prosi o pieniądze

Lilu  jest to nowe oprogramowanie ransomware, które jest również znane pod nazwą Lilocked i tak dalej ma na celu zainfekowanie serwerów opartych na systemie Linuxcoś, co udało się osiągnąć. Oprogramowanie ransomware zaczęło infekować serwery w połowie lipca, ale w ciągu ostatnich dwóch tygodni ataki stały się częstsze. Dużo częściej.

Pierwszy znany przypadek oprogramowania ransomware Lilocked wyszedł na jaw, gdy użytkownik przesłał notatkę do Ransomware ID, witryna internetowa utworzona w celu zidentyfikowania nazwy tego typu złośliwego oprogramowania. Twoim celem są serwery i uzyskać dostęp do roota w nich. Mechanizm używany do uzyskania tego dostępu jest nadal nieznany. A zła wiadomość jest taka, że ​​teraz, niecałe dwa miesiące później, Lilu infekuje tysiące serwerów opartych na Linuksie.

Lilu atakuje serwery Linux, aby uzyskać dostęp do roota

To, co robi Lilocked, coś, czego możemy się domyślić po jego nazwie, to blokowanie. Mówiąc dokładniej, po pomyślnym zaatakowaniu serwera plik pliki są zablokowane z rozszerzeniem .lilocked. Innymi słowy, złośliwe oprogramowanie modyfikuje pliki, zmienia rozszerzenie na .lilocked i stają się one całkowicie bezużyteczne… chyba że zapłacisz za ich przywrócenie.

Oprócz zmiany rozszerzenia pliku pojawia się również uwaga, która mówi (w języku angielskim):

«Zaszyfrowałem wszystkie Twoje poufne dane !!! To mocne szyfrowanie, więc nie bądź naiwny, próbując go przywrócić;) »

Po kliknięciu linku do notatki następuje przekierowanie do strony w ciemnej sieci, która prosi o wprowadzenie klucza zawartego w notatce. Po dodaniu tego klucza Wymagane jest wprowadzenie 0.03 bitcoina (294.52 EUR) w portfelu Electrum, aby pliki zostały zaszyfrowane.

Nie wpływa na pliki systemowe

Lilu nie wpływa na pliki systemowe, ale inne, takie jak HTML, SHTML, JS, CSS, PHP, INI i inne formaty obrazów, mogą zostać zablokowane. To znaczy że system będzie działał normalniePo prostu zablokowane pliki nie będą dostępne. „Przejęcie” przypomina nieco „wirusa policyjnego”, z tą różnicą, że uniemożliwił korzystanie z systemu operacyjnego.

Badacz bezpieczeństwa Benkow mówi, że Lilock wpłynął na około 6.700 serwerów, LWiększość z nich jest buforowana w wynikach wyszukiwania Google, ale mogą istnieć te, których dotyczy problem, a które nie są indeksowane przez słynną wyszukiwarkę. W chwili pisania tego artykułu i jak już wyjaśniliśmy, mechanizm używany przez Lilu jest nieznany, więc nie ma łatki do zastosowania. Zaleca się stosowanie silnych haseł i zawsze dobrze aktualizowane oprogramowanie.


Zostaw swój komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

*

*

  1. Odpowiedzialny za dane: Miguel Ángel Gatón
  2. Cel danych: kontrola spamu, zarządzanie komentarzami.
  3. Legitymacja: Twoja zgoda
  4. Przekazywanie danych: Dane nie będą przekazywane stronom trzecim, z wyjątkiem obowiązku prawnego.
  5. Przechowywanie danych: baza danych hostowana przez Occentus Networks (UE)
  6. Prawa: w dowolnym momencie możesz ograniczyć, odzyskać i usunąć swoje dane.

  1.   DS powiedział
    temu 5 roku

    Witaj! Pomocne byłoby opublikowanie środków ostrożności, jakie należy podjąć, aby uniknąć infekcji. W artykule z 2015 roku przeczytałem, że mechanizm infekcji był niejasny, ale prawdopodobnie był to atak brutalnej siły. Uważam jednak, biorąc pod uwagę liczbę zainfekowanych serwerów (6700), że jest mało prawdopodobne, aby tylu administratorów było na tyle nieostrożnych, by podawać krótkie, łatwe do złamania hasła. Pozdrowienia.

    Odpowiedz DS
  2.   Jose Villamizar powiedział
    temu 4 roku

    jest naprawdę wątpliwe, czy można powiedzieć, że linux jest zainfekowany wirusem i, nawiasem mówiąc, w Javie, aby ten wirus mógł wejść na serwer, musi najpierw przejść przez zaporę ogniową routera, a następnie przez serwer linuxowy, a następnie jako „własny wykonywanie ”tak, że prosi o dostęp do roota?

    nawet zakładając, że działa cudowne działanie, co robisz, aby uzyskać dostęp do roota? ponieważ nawet instalacja w trybie innym niż root jest bardzo trudna, ponieważ musiałby być napisany w crontab w trybie root, to znaczy musisz znać klucz główny, że aby go uzyskać, potrzebujesz aplikacji takiej jak "keyloger „przechwytuje” naciśnięcia klawiszy, ale nadal istnieje wątpliwość, w jaki sposób ta aplikacja zostanie zainstalowana?

    Odpowiedz jose villamizar
  3.   Jose Villamizar powiedział
    temu 4 roku

    Zapomnij o tym, że aplikacja nie może być zainstalowana "wewnątrz innej aplikacji", chyba że pochodzi z gotowej strony do pobrania, jednak zanim dotrze do komputera, zostanie kilkakrotnie zaktualizowana, co spowodowałoby, że luka w zabezpieczeniach została napisana nie jest już skuteczna.

    W przypadku okien jest to bardzo różne, ponieważ plik html ze scryptem java lub php może utworzyć nietypowy plik .bat tego samego typu scrypt i zainstalować go na komputerze, ponieważ nie jest wymagane bycie rootem dla tego typu cel

    Odpowiedz jose villamizar