Lilu Nó là một ransomware mới còn được biết đến với cái tên Lilocked và nhằm mục đích lây nhiễm các máy chủ dựa trên Linux, điều mà anh ấy đã đạt được thành công. Phần mềm tống tiền bắt đầu lây nhiễm vào các máy chủ vào giữa tháng XNUMX, nhưng trong hai tuần qua, các cuộc tấn công đã trở nên thường xuyên hơn. Thường xuyên hơn nhiều.
Trường hợp đầu tiên được biết đến về phần mềm tống tiền Lilocked được đưa ra ánh sáng khi một người dùng tải lên một ghi chú Phần mềm tống tiền ID, một trang web được tạo ra để xác định tên của loại phần mềm độc hại này. Mục tiêu của bạn là máy chủ và nhận quyền truy cập root trong chúng. Cơ chế nó sử dụng để có được quyền truy cập đó vẫn chưa được biết. Và tin xấu là bây giờ, chưa đầy hai tháng sau, Lilu đã được biết là đã lây nhiễm cho hàng nghìn máy chủ chạy hệ điều hành Linux.
Lilu tấn công máy chủ Linux để có quyền truy cập root
Những gì Lilocked làm, thứ mà chúng ta có thể đoán được từ tên của nó, là khối. Cụ thể hơn, sau khi máy chủ bị tấn công thành công, tệp bị khóa bằng phần mở rộng .lilocked. Nói cách khác, phần mềm độc hại sửa đổi các tệp, thay đổi phần mở rộng thành .lilocked và chúng trở nên hoàn toàn vô dụng ... trừ khi bạn trả tiền để khôi phục chúng.
Ngoài việc thay đổi phần mở rộng tệp, một ghi chú cũng xuất hiện cho biết (bằng tiếng Anh):
«Tôi đã mã hóa tất cả dữ liệu nhạy cảm của bạn !!! Đó là mã hóa mạnh, vì vậy đừng ngây thơ khi cố gắng khôi phục nó;) »
Khi liên kết của ghi chú được nhấp vào, nó được chuyển hướng đến một trang trên dark web yêu cầu nhập khóa có trong ghi chú. Khi một khóa như vậy được thêm vào, 0.03 bitcoin (294.52 €) được yêu cầu nhập trong ví Electrum để mã hóa của các tệp bị xóa.
Không ảnh hưởng đến các tệp hệ thống
Lilu không ảnh hưởng đến các tệp hệ thống, nhưng các tệp khác như HTML, SHTML, JS, CSS, PHP, INI và các định dạng hình ảnh khác có thể bị chặn. Điều này có nghĩa rằng hệ thống sẽ hoạt động bình thườngChỉ là các tệp bị khóa sẽ không thể truy cập được. "Hijacking" phần nào gợi nhớ đến "Police virus", với sự khác biệt là nó đã ngăn chặn việc sử dụng hệ điều hành.
Nhà nghiên cứu bảo mật Benkow nói rằng Lilock đã ảnh hưởng đến khoảng 6.700 máy chủlHầu hết chúng được lưu vào bộ nhớ cache trong kết quả tìm kiếm của Google, nhưng có thể có nhiều kết quả bị ảnh hưởng hơn không được lập chỉ mục bởi công cụ tìm kiếm nổi tiếng. Tại thời điểm viết bài này và như chúng tôi đã giải thích, cơ chế hoạt động mà Lilu sử dụng vẫn chưa được biết rõ nên không có bản vá nào để áp dụng. Chúng tôi khuyên bạn nên sử dụng mật khẩu mạnh và chúng tôi luôn cập nhật phần mềm tốt.
Xin chào! Sẽ rất hữu ích nếu công khai các biện pháp phòng ngừa để tránh lây nhiễm. Tôi đọc trong một bài báo từ năm 2015 rằng cơ chế lây nhiễm không rõ ràng nhưng có lẽ đó là một cuộc tấn công vũ phu. Tuy nhiên, tôi cho rằng, với số lượng máy chủ bị nhiễm (6700), không có khả năng nhiều quản trị viên bất cẩn đến mức đặt mật khẩu ngắn và dễ phá vỡ. Trân trọng.
Thực sự nghi ngờ rằng có thể nói rằng linux bị nhiễm vi-rút và trong java, để vi-rút này xâm nhập vào máy chủ, trước tiên chúng phải vượt qua tường lửa của bộ định tuyến và sau đó là của máy chủ linux, sau đó là " tự động thực thi "để nó yêu cầu quyền truy cập root?
thậm chí giả sử nó đạt được điều kỳ diệu khi chạy, bạn làm gì để có được quyền truy cập root? bởi vì ngay cả khi cài đặt ở chế độ không phải root cũng rất khó vì nó sẽ phải được viết bằng crontab ở chế độ root, nghĩa là bạn phải biết khóa gốc mà để có được nó, bạn sẽ cần một ứng dụng chẳng hạn như "keyloger" "nắm bắt" các tổ hợp phím, nhưng vẫn còn một câu hỏi là làm thế nào để cài đặt ứng dụng này?
Quên đề cập rằng một ứng dụng không thể được cài đặt "trong một ứng dụng khác" trừ khi nó đến từ một trang web tải xuống được tạo sẵn, tuy nhiên khi đến máy tính, nó sẽ được cập nhật vài lần, điều này sẽ tạo ra lỗ hổng bảo mật. không còn hiệu quả.
Trong trường hợp của windows, nó rất khác vì một tệp html với java scrypt hoặc với php có thể tạo ra một tệp .bat bất thường của cùng một loại scrypt và cài đặt nó trên máy vì nó không bắt buộc phải root cho loại này. mục tiêu