Lilu, новая программа-вымогатель заражает тысячи серверов на базе Linux

Лилу просит денег

Lilu  Это новая программа-вымогатель, известная также под названием Lilocked и направлена ​​на заражение серверов на базе Linux, то, чего он добился успешно. Программа-вымогатель начала заражать серверы в середине июля, но в последние две недели атаки участились. Намного чаще.

Первый известный случай вымогательства Lilocked обнаружился, когда пользователь загрузил заметку в ID вымогателей, веб-сайт, созданный для определения названия этого типа вредоносного ПО. Ваша цель - серверы и получить root-доступ в них. Механизм, который он использует для получения доступа, пока неизвестен. Плохая новость заключается в том, что теперь, менее чем через два месяца, известно, что Lilu заразил тысячи серверов на базе Linux.

Lilu атакует серверы Linux, чтобы получить root-доступ

Что делает Lilocked, как мы можем догадаться по его названию, так это блокирование. Чтобы быть более конкретным, как только сервер был успешно атакован, файлы заблокированы с расширением .lilocked. Другими словами, вредоносная программа изменяет файлы, изменяет расширение на .lilocked, и они становятся совершенно бесполезными ... если вы не заплатите за их восстановление.

Помимо изменения расширения файла, также появляется примечание, в котором говорится (на английском языке):

«Я зашифровал все ваши конфиденциальные данные !!! Это надежное шифрование, поэтому не будьте наивны, пытаясь его восстановить;) »

Как только ссылка на заметку нажата, она перенаправляется на страницу в темной сети, которая просит ввести ключ, указанный в заметке. Когда такой ключ добавлен, 0.03 биткойна (294.52 евро) необходимо ввести в кошельке Electrum, чтобы снять шифрование файлов.

Не влияет на системные файлы

Lilu не влияет на системные файлы, но другие, такие как HTML, SHTML, JS, CSS, PHP, INI и другие форматы изображений, могут быть заблокированы. Это значит, что система будет работать нормальноПросто заблокированные файлы будут недоступны. «Угон» чем-то напоминает «полицейский вирус» с той разницей, что он действительно препятствовал использованию операционной системы.

Исследователь безопасности Бенкоу говорит, что Lilock затронуло около 6.700 серверов, LБольшинство из них кэшируются в результатах поиска Google, но могут быть и другие уязвимые, которые не индексируются известной поисковой системой. На момент написания этой статьи и, как мы объяснили, механизм, который Lilu использует для работы, неизвестен, поэтому нет никакого патча для применения. Рекомендуется использовать надежные пароли и постоянно обновлять программное обеспечение.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

3 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   DS сказал

    Здравствуйте! Было бы полезно объявить о мерах предосторожности, которые необходимо предпринять, чтобы избежать заражения. Я прочитал в статье 2015 года, что механизм заражения неясен, но, вероятно, это была атака грубой силы. Однако я считаю, что, учитывая количество зараженных серверов (6700), маловероятно, чтобы такое количество администраторов было настолько небрежно, чтобы устанавливать короткие и легко взламываемые пароли. С уважением.

  2.   Хосе Вильямисар сказал

    Действительно сомнительно, что можно сказать, что linux заражен вирусом и, попутно, в java, чтобы этот вирус проник на сервер, они должны сначала пересечь брандмауэр маршрутизатора, а затем сервер Linux, а затем, поскольку ose "запускается автоматически", чтобы он запрашивал корневой доступ?

    даже если предположить, что это чудо работает, что вы делаете, чтобы получить root-доступ? потому что даже установка в режиме без полномочий root очень сложна, так как ее нужно было бы записать в crontab в режиме root, то есть вы должны знать корневой ключ, чтобы получить его, вам понадобится приложение, такое как «кейлоггер», который «фиксирует» нажатия клавиш, но остается вопрос, как установить это приложение?

  3.   Хосе Вильямисар сказал

    Не забудьте упомянуть, что приложение не может быть установлено «в другом приложении», если оно не поступает с готового веб-сайта для загрузки, однако к тому времени, когда оно попадет на компьютер, оно будет обновлено несколько раз, что сделает уязвимость, для которой было написано, уже не действует.

    В случае с окнами это сильно отличается, поскольку html-файл с java scrypt или с php может создать необычный .bat-файл того же типа scrypt и установить его на машину, поскольку для этого типа цели не требуется быть root.