Lilu це нове програм-вимагачів, яке також відоме під назвою Lilocked має на меті заразити сервери на базі Linux, чого він успішно досяг. Вимагач почав заражати сервери в середині липня, але за останні два тижні атаки почастішали. Набагато частіше.
Перший відомий випадок програми-вимагателя Lilocked виявився, коли користувач завантажив нотатку до ID Ransomware, веб-сайт, створений для ідентифікації назви цього типу шкідливого програмного забезпечення. Ваша мета - сервери та отримати root-доступ у них. Механізм, який він використовує для отримання такого доступу, досі невідомий. І погана новина полягає в тому, що тепер, менш ніж через два місяці, Lilu, як відомо, заражає тисячі серверів на базі Linux.
Lilu атакує сервери Linux, щоб отримати root-доступ
Що робить Lilocked, про що ми можемо здогадатися з його назви, це блок. Якщо бути більш точним, після успішної атаки на сервер, файли блокуються із розширенням .lilocked. Іншими словами, шкідливе програмне забезпечення модифікує файли, змінює розширення на .lilocked, і вони абсолютно марні ... якщо ви не заплатите за їх відновлення.
Окрім зміни розширення файлу, також з’являється примітка, яка говорить (англійською мовою):
«Я зашифрував усі ваші конфіденційні дані !!! Це сильне шифрування, тому не будьте наївними, намагаючись його відновити;) »
Після натискання посилання на примітку воно переспрямовується на сторінку в темній мережі, яка просить ввести ключ, який є в примітці. Коли додається вказаний ключ, Просимо ввести 0.03 біткойни (294.52 євро) в гаманці Electrum, щоб було вилучено шифрування файлів.
Не впливає на системні файли
Lilu не впливає на системні файли, але інші, такі як HTML, SHTML, JS, CSS, PHP, INI та інші формати зображень, можуть бути заблоковані. Це означає що система працюватиме нормальноПросто заблоковані файли будуть недоступні. "Викрадення" чимось нагадує "вірус поліції", з тією різницею, що воно перешкоджало використанню операційної системи.
Дослідник безпеки Бенков каже, що Лілок торкнувся близько 6.700 серверівLБільшість з них кешовано в результатах пошуку Google, але можуть бути і інші, які не зазнають індексації відомою пошуковою системою. На момент написання цієї статті, і, як ми вже пояснювали, механізм, який Lilu використовує для роботи, невідомий, тому немає жодних патчів для застосування. Рекомендується використовувати надійні паролі та постійно оновлювати програмне забезпечення.
Привіт! Було б корисно оприлюднити запобіжні заходи, щоб уникнути зараження. Я читав у статті 2015 року, що механізм зараження був незрозумілим, але, ймовірно, це була атака грубої сили. Однак, я вважаю, враховуючи кількість заражених серверів (6700), малоймовірно, що стільки адміністраторів буде настільки необережними, щоб вводити короткі паролі, які легко зламати. З повагою.
Дійсно сумнівно, що можна сказати, що Linux заражений вірусом, і, до речі, в Java, щоб цей вірус потрапив на сервер, він повинен спочатку пройти брандмауер маршрутизатора, а потім сервер Linux, а потім як "auto" -виконує ", щоб він запитував root-доступ?
навіть якщо припустити, що воно досягає дива запуску, що ви робите для отримання root-доступу? оскільки навіть установка в некореневому режимі дуже важка, оскільки її потрібно було б писати в crontab у кореневому режимі, тобто ви повинні знати кореневий ключ, що для його отримання вам знадобиться програма, така як "кейлогер", яка "захоплює" натискання клавіш, але все ще залишається питання, як встановити цю програму?
Забудьте згадати, що додаток не можна встановити "в іншому додатку", якщо він не надходить із готового веб-сайту для завантаження, проте до того моменту, коли він дістанеться до ПК, він буде оновлений кілька разів, що призведе до вразливості, для якої було написано вже не діє.
У випадку з Windows це зовсім інше, оскільки html-файл із java scrypt або php може створити незвичний файл .bat того ж типу scrypt та встановити його на машині, оскільки для цього типу об'єктивний