Lilu, ransomware i ri infekton mijëra servera të bazuar në Linux

Miguel Gaton

Minuta 2

Lilu duke kërkuar para

Lilu  Isshtë një ransomware i ri që njihet gjithashtu me emrin Lilocked dhe që synon të infektojë serverat e bazuar në Linux, diçka që është arritur me sukses. Rransomware filloi të infektojë serverat në mes të korrikut, por sulmet janë bërë më të shpeshta në dy javët e fundit. Shumë më e shpeshtë.

Rasti i parë i njohur i ransomware Lilocked doli në dritë kur një përdorues ngarkoi një shënim në ID e Ransomware, një faqe në internet e krijuar për të identifikuar emrin e këtij lloji të softuerit me qëllim të keq. Objektivi juaj janë serverat dhe merrni qasje në rrënjë në to. Mekanizmi që përdor për të marrë atë qasje është ende i panjohur. Dhe lajmi i keq është se tani, më pak se dy muaj më vonë, Lilu dihet se ka infektuar mijëra servera të bazuar në Linux.

Lilu sulmon serverat Linux për të marrë qasje në rrënjë

Ajo që bën Lilocked, diçka që mund ta marrim me mend nga emri i saj, është bllok. Për të qenë më specifik, pasi serveri të jetë sulmuar me sukses, skedarët bllokohen me një shtrirje .i bllokuar. Me fjalë të tjera, softueri me qëllim të keq modifikon skedarët, ndryshon shtesën në .lilocked, dhe ato bëhen plotësisht të papërdorshme nëse nuk paguani për t'i rivendosur ato.

Përveç ndryshimit të shtrirjes së skedarit, shfaqet edhe një shënim që thotë (në anglisht):

«Unë kam kriptuar të gjitha të dhënat tuaja të ndjeshme !!! Encshtë një enkriptim i fortë, prandaj mos u tregoni naiv duke u përpjekur ta rivendosni atë;) »

Sapo të klikohet lidhja e shënimit, ajo ridrejtohet në një faqe në rrjetin e errët që kërkon të fusë çelësin që është në shënim. Kur shtohet një çelës i tillë, Kërkohet të futen 0.03 bitcoin (294.52 €) në portofolin Electrum në mënyrë që enkriptimi i skedarëve të hiqet.

Nuk ndikon në skedarët e sistemit

Lilu nuk ndikon në skedarët e sistemit, por të tjera si HTML, SHTML, JS, CSS, PHP, INI dhe formate të tjera të imazheve mund të bllokohen. Kjo do të thotë se sistemi do të funksionojë normalishtThjesht skedarët e kyçur nuk do të jenë të arritshëm. "Rrëmbimi" të kujton disi "virusin e Policisë", me ndryshimin që parandaloi përdorimin e sistemit operativ.

Studiuesi i sigurisë Benkow thotë se Lilock prekur rreth 6.700 servera, lShumica e tyre janë memorizuar në rezultatet e kërkimit Google, por mund të ketë më shumë të prekur që nuk indeksohen nga motori i famshëm i kërkimit. Në kohën e shkrimit të këtij artikulli dhe siç e kemi shpjeguar, mekanizmi që Lilu përdor për të punuar nuk dihet, kështu që nuk ka asnjë copë toke për t'u aplikuar. Rekomandohet që të përdorim fjalëkalime të forta dhe që gjithmonë ta mbajmë softuerin të azhurnuar.


Lini komentin tuaj

Adresa juaj e emailit nuk do të publikohet. Fusha e kërkuar janë shënuar me *

*

*

  1. Përgjegjës për të dhënat: Miguel Ángel Gatón
  2. Qëllimi i të dhënave: Kontrolloni SPAM, menaxhimin e komenteve.
  3. Legjitimimi: Pëlqimi juaj
  4. Komunikimi i të dhënave: Të dhënat nuk do t'u komunikohen palëve të treta përveç me detyrim ligjor.
  5. Ruajtja e të dhënave: Baza e të dhënave e organizuar nga Occentus Networks (BE)
  6. Të drejtat: Në çdo kohë mund të kufizoni, rikuperoni dhe fshini informacionin tuaj.

  1.   DS dijo
    më parë Vjet 5

    Përshëndetje! Do të ishte e dobishme të botohen masat paraprake për të shmangur infeksionin. Kam lexuar në një artikull të vitit 2015 që mekanizmi i infeksionit ishte i paqartë, por që ishte ndoshta një sulm i forcës brutale. Sidoqoftë, unë konsideroj, duke pasur parasysh numrin e serverave të infektuar (6700), që nuk ka gjasa që kaq shumë administratorë të jenë aq të pakujdesshëm sa të vendosin fjalëkalime të shkurtra, të këputura lehtë. Të fala.

    Përgjigju DS
  2.   Hoze Villamizar dijo
    më parë Vjet 4

    Reallyshtë vërtet e dyshimtë që mund të thuhet se linux është i infektuar me një virus dhe, rastësisht, në java, që ky virus të hyjë në server ata së pari duhet të kalojnë në firewall-in e routerit dhe më pas atë të serverit linux, pastaj si ose "auto" -ekzekuton "në mënyrë që të kërkojë hyrjen në rrënjë?

    edhe nëse supozojmë se arrin mrekullinë e vrapimit, çfarë bëni ju për të fituar qasje në rrënjë? sepse edhe instalimi në modalitetin jo-rrënjë është shumë i vështirë pasi që do të duhej të shkruhej në crontab në mënyrën root, domethënë, duhet të dini çelësin rrënjë që për ta marrë atë do t'ju duhet një aplikacion si "keyloger" që "kap" goditjet e tasteve, por Ekziston ende dyshimi se si do të instalohej ai aplikacion?

    Përgjigju jose villamizar
  3.   Hoze Villamizar dijo
    më parë Vjet 4

    Harroni të përmendni se një aplikacion nuk mund të instalohet "brenda një aplikacioni tjetër" nëse nuk vjen nga një faqe e gatshme për shkarkim, megjithatë në kohën që arrin një kompjuter do të jetë azhurnuar disa herë, gjë që do të bënte cenueshmërinë për të cilën ishte shkruar nuk është më efektive.

    Në rastin e dritareve, është shumë ndryshe pasi që një skedar html me java scrypt ose me php mund të krijojë një skedar të pazakontë .bat të të njëjtit lloj skripti dhe ta instalojë atë në makinë pasi nuk kërkohet të jetë root për këtë lloj objektiv

    Përgjigju jose villamizar