Lilu É um novo ransomware que também é conhecido pelo nome de Lilocked e que visa infectar servidores baseados em Linux, algo que ele alcançou com sucesso. O ransomware começou a infectar servidores em meados de julho, mas os ataques se tornaram mais frequentes nas últimas duas semanas. Muito mais frequente.
O primeiro caso conhecido de ransomware Lilocked veio à tona quando um usuário carregou uma nota para ID do ransomware, um site criado para identificar o nome desse tipo de software malicioso. Seu alvo são servidores e obter acesso root neles. O mecanismo que ele usa para obter esse acesso ainda é desconhecido. E a má notícia é que agora, menos de dois meses depois, Lilu é conhecido por ter infectado milhares de servidores baseados em Linux.
Lilu ataca servidores Linux para obter acesso root
O que Lilocked faz, algo que podemos adivinhar pelo nome, é bloquear. Para ser mais específico, uma vez que o servidor foi atacado com sucesso, o os arquivos estão bloqueados com uma extensão .lilocked. Em outras palavras, o software malicioso modifica os arquivos, altera a extensão para .lilocked e eles se tornam totalmente inutilizáveis ... a menos que você pague para restaurá-los.
Além de alterar a extensão do arquivo, também aparece uma nota que diz (em inglês):
«Encriptei todos os seus dados sensíveis !!! É uma criptografia forte, então não seja ingênuo tentando restaurá-la;) »
Assim que o link da nota é clicado, ele é redirecionado para uma página na dark web que pede para inserir a chave que está na nota. Quando essa chave é adicionada, 0.03 bitcoins (€ 294.52) devem ser inseridos na carteira Electrum para que a criptografia dos arquivos seja removida.
Não afeta os arquivos do sistema
Lilu não afeta os arquivos do sistema, mas outros como HTML, SHTML, JS, CSS, PHP, INI e outros formatos de imagem podem ser bloqueados. Isso significa que o sistema funcionará normalmenteSó que os arquivos bloqueados não estarão acessíveis. O "hijacking" lembra um pouco o "vírus Police", com a diferença de que impediu o uso do sistema operacional.
O pesquisador de segurança Benkow diz que Lilock afetou cerca de 6.700 servidores,A maioria deles são armazenados em cache nos resultados de pesquisa do Google, mas pode haver mais afetados que não são indexados pelo famoso mecanismo de pesquisa. No momento em que escrevo este artigo e como explicamos, o mecanismo que Lilu usa para funcionar é desconhecido, então não há patch a ser aplicado. É recomendável usar senhas fortes e que sempre mantenhamos o software bem atualizado.