Lilu É um novo ransomware que também é conhecido pelo nome de Lilocked e que visa infectar servidores baseados em Linux, algo que ele alcançou com sucesso. O ransomware começou a infectar servidores em meados de julho, mas os ataques se tornaram mais frequentes nas últimas duas semanas. Muito mais frequente.
O primeiro caso conhecido de ransomware Lilocked veio à tona quando um usuário carregou uma nota para ID do ransomware, um site criado para identificar o nome desse tipo de software malicioso. Seu alvo são servidores e obter acesso root neles. O mecanismo que ele usa para obter esse acesso ainda é desconhecido. E a má notícia é que agora, menos de dois meses depois, Lilu é conhecido por ter infectado milhares de servidores baseados em Linux.
Lilu ataca servidores Linux para obter acesso root
O que Lilocked faz, algo que podemos adivinhar pelo nome, é bloquear. Para ser mais específico, uma vez que o servidor foi atacado com sucesso, o os arquivos estão bloqueados com uma extensão .lilocked. Em outras palavras, o software malicioso modifica os arquivos, altera a extensão para .lilocked e eles se tornam totalmente inutilizáveis ... a menos que você pague para restaurá-los.
Além de alterar a extensão do arquivo, também aparece uma nota que diz (em inglês):
«Encriptei todos os seus dados sensíveis !!! É uma criptografia forte, então não seja ingênuo tentando restaurá-la;) »
Assim que o link da nota é clicado, ele é redirecionado para uma página na dark web que pede para inserir a chave que está na nota. Quando essa chave é adicionada, 0.03 bitcoins (€ 294.52) devem ser inseridos na carteira Electrum para que a criptografia dos arquivos seja removida.
Não afeta os arquivos do sistema
Lilu não afeta os arquivos do sistema, mas outros como HTML, SHTML, JS, CSS, PHP, INI e outros formatos de imagem podem ser bloqueados. Isso significa que o sistema funcionará normalmenteSó que os arquivos bloqueados não estarão acessíveis. O "hijacking" lembra um pouco o "vírus Police", com a diferença de que impediu o uso do sistema operacional.
O pesquisador de segurança Benkow diz que Lilock afetou cerca de 6.700 servidores,A maioria deles são armazenados em cache nos resultados de pesquisa do Google, mas pode haver mais afetados que não são indexados pelo famoso mecanismo de pesquisa. No momento em que escrevo este artigo e como explicamos, o mecanismo que Lilu usa para funcionar é desconhecido, então não há patch a ser aplicado. É recomendável usar senhas fortes e que sempre mantenhamos o software bem atualizado.
Olá! Seria útil divulgar as precauções a serem tomadas para evitar infecções. Eu li em um artigo de 2015 que o mecanismo de infecção não estava claro, mas provavelmente foi um ataque de força bruta. No entanto, considero, dado o número de servidores infectados (6700), que é improvável que tantos administradores sejam tão descuidados a ponto de colocar senhas curtas e fáceis de quebrar. Saudações.
É realmente duvidoso que se possa dizer que o linux está infectado com um vírus e, aliás, em java, para esse vírus entrar no servidor eles devem primeiro cruzar o firewall do roteador e depois o do servidor linux, então como ose "auto-executa" para que ele pergunte acesso root?
mesmo supondo que ele atinja o milagre de execução, o que você faz para obter acesso root? porque mesmo instalar em modo não root é muito difícil, pois teria que ser escrito em crontab em modo root, ou seja, você deve conhecer a chave raiz que para obtê-la seria necessário um aplicativo como um "keyloger" que "captura" as teclas digitadas, mas ainda resta a questão de como esse aplicativo seria instalado?
Esqueça de mencionar que um aplicativo não pode ser instalado "dentro de outro aplicativo" a menos que venha de um site de download pronto, no entanto, quando chegar a um pc já terá sido atualizado várias vezes, o que tornaria a vulnerabilidade para a qual foi escrito não é mais eficaz.
No caso do Windows, é muito diferente, pois um arquivo html com java scrypt ou com php pode criar um arquivo .bat incomum do mesmo tipo scrypt e instalá-lo na máquina, pois não é necessário ser root para este tipo de objetivo