Lilu Это новая программа-вымогатель, известная также под названием Lilocked и направлена на заражение серверов на базе Linux, то, чего он добился успешно. Программа-вымогатель начала заражать серверы в середине июля, но в последние две недели атаки участились. Намного чаще.
Первый известный случай вымогательства Lilocked обнаружился, когда пользователь загрузил заметку в ID вымогателей, веб-сайт, созданный для определения названия этого типа вредоносного ПО. Ваша цель - серверы и получить root-доступ в них. Механизм, который он использует для получения доступа, пока неизвестен. Плохая новость заключается в том, что теперь, менее чем через два месяца, известно, что Lilu заразил тысячи серверов на базе Linux.
Lilu атакует серверы Linux, чтобы получить root-доступ
Что делает Lilocked, как мы можем догадаться по его названию, так это блокирование. Чтобы быть более конкретным, как только сервер был успешно атакован, файлы заблокированы с расширением .lilocked. Другими словами, вредоносная программа изменяет файлы, изменяет расширение на .lilocked, и они становятся совершенно бесполезными ... если вы не заплатите за их восстановление.
Помимо изменения расширения файла, также появляется примечание, в котором говорится (на английском языке):
«Я зашифровал все ваши конфиденциальные данные !!! Это надежное шифрование, поэтому не будьте наивны, пытаясь его восстановить;) »
Как только ссылка на заметку нажата, она перенаправляется на страницу в темной сети, которая просит ввести ключ, указанный в заметке. Когда такой ключ добавлен, 0.03 биткойна (294.52 евро) необходимо ввести в кошельке Electrum, чтобы снять шифрование файлов.
Не влияет на системные файлы
Lilu не влияет на системные файлы, но другие, такие как HTML, SHTML, JS, CSS, PHP, INI и другие форматы изображений, могут быть заблокированы. Это значит, что система будет работать нормальноПросто заблокированные файлы будут недоступны. «Угон» чем-то напоминает «полицейский вирус» с той разницей, что он действительно препятствовал использованию операционной системы.
Исследователь безопасности Бенкоу говорит, что Lilock затронуло около 6.700 серверов, LБольшинство из них кэшируются в результатах поиска Google, но могут быть и другие уязвимые, которые не индексируются известной поисковой системой. На момент написания этой статьи и, как мы объяснили, механизм, который Lilu использует для работы, неизвестен, поэтому нет никакого патча для применения. Рекомендуется использовать надежные пароли и постоянно обновлять программное обеспечение.
Здравствуйте! Было бы полезно объявить о мерах предосторожности, которые необходимо предпринять, чтобы избежать заражения. Я прочитал в статье 2015 года, что механизм заражения неясен, но, вероятно, это была атака грубой силы. Однако я считаю, что, учитывая количество зараженных серверов (6700), маловероятно, чтобы такое количество администраторов было настолько небрежно, чтобы устанавливать короткие и легко взламываемые пароли. С уважением.
Действительно сомнительно, что можно сказать, что linux заражен вирусом и, попутно, в java, чтобы этот вирус проник на сервер, они должны сначала пересечь брандмауэр маршрутизатора, а затем сервер Linux, а затем, поскольку ose "запускается автоматически", чтобы он запрашивал корневой доступ?
даже если предположить, что это чудо работает, что вы делаете, чтобы получить root-доступ? потому что даже установка в режиме без полномочий root очень сложна, так как ее нужно было бы записать в crontab в режиме root, то есть вы должны знать корневой ключ, чтобы получить его, вам понадобится приложение, такое как «кейлоггер», который «фиксирует» нажатия клавиш, но остается вопрос, как установить это приложение?
Не забудьте упомянуть, что приложение не может быть установлено «в другом приложении», если оно не поступает с готового веб-сайта для загрузки, однако к тому времени, когда оно попадет на компьютер, оно будет обновлено несколько раз, что сделает уязвимость, для которой было написано, уже не действует.
В случае с окнами это сильно отличается, поскольку html-файл с java scrypt или с php может создать необычный .bat-файл того же типа scrypt и установить его на машину, поскольку для этого типа цели не требуется быть root.