Lilu je to nový ransomvér, ktorý je tiež známy pod menom Lilocked a pod si kladie za cieľ infikovať servery založené na Linuxe, niečo, čo úspešne dosiahol. Ransomvér začal infikovať servery v polovici júla, v posledných dvoch týždňoch však boli útoky čoraz častejšie. Oveľa častejšie.
Prvý známy prípad ransomvéru Lilocked vyšiel najavo, keď používateľ nahral poznámku na server ID Ransomware, webová stránka vytvorená na identifikáciu názvu tohto typu škodlivého softvéru. Váš cieľ sú servery a získať prístup root v nich. Mechanizmus, ktorý používa na získanie tohto prístupu, je stále neznámy. A zlou správou je, že teraz, o necelé dva mesiace neskôr, je známe, že Lilu infikoval tisíce serverov založených na systéme Linux.
Lilu útočí na servery Linux, aby získal prístup root
To, čo Lilocked robí, čo môžeme hádať z jeho názvu, je blok. Konkrétnejšie, po úspešnom útoku na server sa zobrazí ikona súbory sú zamknuté s príponou .lilocked. Inými slovami, škodlivý softvér upraví súbory, zmení príponu na .locked a stanú sa úplne zbytočnými ... pokiaľ za ich obnovenie nezaplatíte.
Okrem zmeny prípony súboru sa zobrazí aj poznámka s textom (v angličtine):
«Zašifroval som všetky vaše citlivé údaje !!! Je to silné šifrovanie, takže sa nemusíte naivne snažiť obnoviť;) »
Po kliknutí na odkaz poznámky je presmerovaný na stránku tmavého webu, ktorá žiada o zadanie kľúča, ktorý je v poznámke. Keď sa taký kľúč pridá, Vyžaduje sa zadanie 0.03 bitcoinu (294.52 €) v peňaženke Electrum, aby sa odstránilo šifrovanie súborov.
Neovplyvňuje systémové súbory
Lilu neovplyvňuje systémové súbory, ale iné ako HTML, SHTML, JS, CSS, PHP, INI a ďalšie obrazové formáty je možné zablokovať. To znamená, že systém bude fungovať normálneIba zamknuté súbory nebudú prístupné. „Únos“ do istej miery pripomína „policajný vírus“, s tým rozdielom, že bránil použitiu operačného systému.
Výskumník bezpečnosti Benkow hovorí, že Lilock ovplyvnilo asi 6.700 XNUMX serverov,Väčšina z nich je uložená vo výsledkoch vyhľadávania Google, ale mohlo by sa vyskytnúť viac tých, ktoré nie sú indexované slávnym vyhľadávačom. V čase písania tohto článku a ako sme už vysvetlili, mechanizmus, ktorý Lilu používa na prácu, nie je známy, takže nie je potrebné aplikovať žiadnu opravu. Odporúčame používať silné heslá a udržiavať softvér neustále aktualizovaný.
Ahoj! Bolo by užitočné zverejniť preventívne opatrenia, aby sa zabránilo infekcii. V článku z roku 2015 som sa dočítal, že mechanizmus infekcie nebol jasný, ale pravdepodobne išlo o útok hrubou silou. Domnievam sa však, že vzhľadom na počet infikovaných serverov (6700 XNUMX) je nepravdepodobné, že by toľko správcov bolo tak neopatrných, aby uvádzali krátke a ľahko prelomiteľné heslá. S pozdravom.
Je skutočne pochybné, že sa dá povedať, že linux je infikovaný vírusom a mimochodom v Jave, aby sa tento vírus dostal na server, musí najskôr prejsť cez bránu firewall smerovača a potom cez server linux, potom ako inak “ auto-executes "tak, že žiada root prístup?
aj keď predpokladáme, že sa v ňom dosiahne zázrak behu, čo urobíš, aby si získal prístup root? pretože aj inštalácia v režime bez oprávnenia root je veľmi ťažká, pretože by sa musela písať v crontabe v režime root, to znamená, že musíte poznať koreňový kľúč, ktorý by ste na jeho získanie potrebovali, napríklad „keyloger“ „ktorý„ zachytáva “stlačenia klávesov, stále však existujú pochybnosti, ako by sa táto aplikácia nainštalovala?
Zabudnite spomenúť, že aplikáciu nie je možné nainštalovať „do inej aplikácie“, pokiaľ nepochádza z vopred pripraveného webu na stiahnutie. Avšak kým sa dostane k počítaču, bude niekoľkokrát aktualizovaná, čo by spôsobilo zraniteľnosť, pre ktorú bola napísaná. už nie je účinný.
V prípade systému Windows je to veľmi odlišné, pretože html súbor s Java scrypt alebo s php môže vytvoriť neobvyklý súbor .bat rovnakého typu scrypt a nainštalovať ho do počítača, pretože pre tento typ súboru nemusí byť root. cieľ