LiLu det är en ny ransomware som också är känd under namnet Lilocked och det syftar till att infektera Linux-baserade servrar, något som har uppnåtts framgångsrikt. Ransomware började infektera servrar i mitten av juli, men attacker har blivit vanligare de senaste två veckorna. Mycket mer frekvent.
Det första kända fallet med Lilocked ransomware kom fram när en användare laddade upp en anteckning till ID Ransomware, en webbplats skapad för att identifiera namnet på denna typ av skadlig programvara. Ditt mål är servrar och få root-åtkomst i dem. Mekanismen den använder för att få åtkomst är fortfarande okänd. Och de dåliga nyheterna är att Lilu nu, mindre än två månader senare, har varit känt för att infektera tusentals Linux-baserade servrar.
Lilu attackerar Linux-servrar för att få root-åtkomst
Vad Lilocked gör, något vi kan gissa utifrån dess namn, är block. För att vara mer specifik, när servern har attackerats framgångsrikt, filer är låsta med ett .lilocked-tillägg. Med andra ord ändrar den skadliga programvaran filerna, ändrar tillägget till .lilocked och de blir helt oanvändbara ... såvida du inte betalar för att återställa dem.
Förutom att ändra filtillägget, visas också en anteckning som säger (på engelska):
«Jag har krypterat alla dina känsliga data !!! Det är stark kryptering, så var inte naiv när du försöker återställa den;) »
När länken till anteckningen har klickats omdirigeras den till en sida på det mörka nätet som ber om att ange nyckeln som finns i anteckningen. När nämnda nyckel läggs till, 0.03 bitcoins (294.52 €) begärs att matas in i Electrum-plånboken så att krypteringen av filerna tas bort.
Påverkar inte systemfiler
Lilu påverkar inte systemfiler, men andra som HTML, SHTML, JS, CSS, PHP, INI och andra bildformat kan blockeras. Detta innebär att systemet fungerar normaltDet är bara att de låsta filerna inte kommer att vara tillgängliga. ”Kapningen” påminner något om ”Polisviruset”, med skillnaden att det hindrade användningen av operativsystemet.
Säkerhetsforskare Benkow säger att Lilock har påverkat cirka 6.700 XNUMX servrar, TheDe flesta av dem är cachade i Googles sökresultat, men det kan finnas fler drabbade som inte indexeras av den berömda sökmotorn. När vi skrev denna artikel och som vi har förklarat är den mekanism som Lilu använder för att arbeta okänd, så det finns ingen patch att applicera. Det rekommenderas att vi använder starka lösenord och att vi alltid håller mjukvaran uppdaterad.
Hallå! Det skulle hjälpa till att sprida försiktighetsåtgärderna för att undvika infektion. Jag läste i en artikel från 2015 att infektionsmekanismen inte var tydlig men det var förmodligen en brute force attack. Med tanke på antalet infekterade servrar (6700) tror jag dock att det är osannolikt att så många administratörer är så slarviga att de lägger in lösenord som är korta och lätta att bryta. Hälsningar.
Det är verkligen tveksamt att man kan säga att linux är infekterad med ett virus och för övrigt i java, för att detta virus ska komma in på servern måste de först gå igenom routerns brandvägg och sedan linux-serverns brandvägg, hur kan det sedan "autorun" så att den frågar root access?
även om du antar att det fungerar mirakulöst, vad gör du för att få root-åtkomst? eftersom även installation i icke-root-läge är mycket svårt eftersom det skulle behöva skrivas i crontab i root-läge, det vill säga du måste känna till root-lösenordet, och för att få det skulle du behöva ett program som en "keylogger" som "fångar" tangenttryckningar, men frågan kvarstår, hur skulle denna applikation installeras?
Jag glömde att nämna att en applikation inte kan installeras "i en annan applikation" om den inte kommer från en färdig nedladdningswebbplats, men när den når en PC kommer den redan att ha uppdaterats flera gånger, vilket skulle göra sårbarheten som skrevs upphör att gälla.
i fallet med Windows är det väldigt annorlunda eftersom en html-fil med java crypt eller med php kan skapa en fil av typen .bat även av samma typ scrypt och installera den på maskinen eftersom det inte krävs att den är root för detta typ av mål