Lilu este un nou ransomware care este cunoscut și sub numele de Lilocked și care are ca scop infectarea serverelor bazate pe Linux, ceva care a fost realizat cu succes. Ransomware-ul a început să infecteze servere la mijlocul lunii iulie, dar atacurile au devenit mai frecvente în ultimele două săptămâni. Mult mai frecvent.
Primul caz cunoscut al ransomware-ului Lilocked a ieșit la iveală atunci când un utilizator a încărcat o notă pe ID Ransomware, un site web creat pentru a identifica numele acestui tip de software rău intenționat. Ținta dvs. este servere și obțineți acces root în ele. Mecanismul pe care îl folosește pentru a obține acel acces este încă necunoscut. Și vestea proastă este că acum, mai puțin de două luni mai târziu, se știe că Lilu infectează mii de servere bazate pe Linux.
Lilu atacă serverele Linux pentru a obține acces root
Ceea ce face Lilocked, lucru pe care îl putem ghici din numele său, este bloc. Pentru a fi mai specific, odată ce serverul a fost atacat cu succes, fișierele sunt blocate cu o extensie .lilocked. Cu alte cuvinte, software-ul rău intenționat modifică fișierele, schimbă extensia în .lilocked și sunt total inutile ... cu excepția cazului în care plătiți pentru a le restabili.
Pe lângă schimbarea extensiei fișierelor, apare și o notă care spune (în engleză):
«V-am criptat toate datele sensibile !!! Este o criptare puternică, deci nu fiți naivi încercând să o restaurați;) »
După ce se face clic pe linkul notei, acesta este redirecționat către o pagină de pe web-ul întunecat care cere introducerea cheii care se află în notă. Când se adaugă cheia menționată, Se solicită introducerea a 0.03 bitcoin (294.52 €) în portofelul Electrum, astfel încât criptarea fișierelor să fie eliminată.
Nu afectează fișierele de sistem
Lilu nu afectează fișierele de sistem, dar altele precum HTML, SHTML, JS, CSS, PHP, INI și alte formate de imagine pot fi blocate. Aceasta înseamnă că sistemul va funcționa normalDoar că fișierele blocate nu vor fi accesibile. „Deturnarea” amintește oarecum de „virusul poliției”, cu diferența că a împiedicat utilizarea sistemului de operare.
Cercetătorul de securitate Benkow spune că Lilock a afectat aproximativ 6.700 de servere, LCele mai multe dintre ele sunt stocate în cache în rezultatele căutării Google, dar ar putea exista mai multe afectate care nu sunt indexate de celebrul motor de căutare. În momentul scrierii acestui articol și, după cum am explicat, mecanismul pe care Lilu îl folosește pentru a funcționa este necunoscut, deci nu există niciun patch de aplicat. Este recomandat să folosim parole puternice și să menținem întotdeauna software-ul bine actualizat.
Bună! Ar fi util să faceți publice precauțiile care trebuie luate pentru a evita infecția. Am citit într-un articol din 2015 că mecanismul de infecție nu era clar, dar că era probabil un atac de forță brută. Cu toate acestea, consider, având în vedere numărul de servere infectate (6700), că este puțin probabil ca atât de mulți administratori să fie atât de neglijenți încât să pună parole scurte, ușor de rupt. Salutari.
este cu adevărat îndoielnic că se poate spune că Linux este infectat cu un virus și, de altfel, în java, pentru ca acest virus să intre pe server trebuie să traverseze mai întâi firewall-ul routerului și apoi cel al serverului Linux, apoi ca „auto- se execută „astfel încât să ceară acces root?
chiar și presupunând că atinge miracolul de a rula, ce faci pentru a obține acces root? deoarece chiar și instalarea în modul non-root este foarte dificil, deoarece ar trebui să fie scris în crontab în modul root, adică trebuie să știi cheia rădăcină că pentru a o obține ai avea nevoie de o aplicație precum un „keyloger” „care„ captează ”apăsările de taste, dar există încă îndoiala cum ar fi instalată aplicația respectivă?
Uitați să menționați că o aplicație nu poate fi instalată „în interiorul altei aplicații” decât dacă provine de pe un site de descărcare gata pregătit, totuși, până când ajunge pe un computer, va fi actualizat de mai multe ori, ceea ce ar face vulnerabilitatea pentru care a fost scrisă nu mai este eficient.
în cazul ferestrelor este foarte diferit, deoarece un fișier html cu java scrypt sau cu php poate crea un fișier .bat neobișnuit de același tip de scrypt și îl poate instala pe mașină, deoarece nu este necesar să fie root pentru acest tip de obiectiv