Нов вид криптовирус, наречен Lilocked или Lilu атакува Linux сървъри по целия свят.
Криптовирусът е започнал да инфектира сървъри още през средата на юли месец тази година, но през последните две седмици атаките са зачестили. Lilocked ransomware атакува сървърите и получава root достъп, но повече данни за принципа му на действие към момента не са известни.
Според руски форум вирусът атакува Linux сървъри, при които има инсталира софтуера Exim и се възползва от негова слабост. Може би в тази връзка вчера излезе и нова версия на Exim, която запушва уязвимостта CVE-2019-15846.
След като сървърът бъде заключен, файловете получават разширението .lilocked, а кибер престъпниците, стоящи зад вируса изискват от потребителите да бъде заплатен откуп в размер от 0.03 Bitcoin (около $325) в техния Electrum портфейл, за да отключат файловете.
Съобщението към искането за откупа гласи:
„Криптирах всичките ти важни файлове. Криптирането е силно, така че не се надявай да си ги възстановиш 😉“.
В съобщението още е включен и ключът, който ви е необходим за декриптирането на файловете, а също така и линк, където да следвате инструкциите за възстановяване на информацията.
Интересен факт около Lilocked ransomware е, че той не засяга файловата система и Linux дистрибуцията, която е инсталирана на сървъра продължава да работи нормално. Той засяга всички файлове, които имат разширенията PHP, HTML, JS, SHTML, CSS, INI и различни формати за изображения.
Според френския специалист по сигурността Benkow Lilock до момента е засегнал около 6700 Linux сървъра като повечето от тях са кеширани в търсенето на Google. Възможно е обаче бройката да е по-голяма, защото множество сървъри не са кеширани в тези резултати.
За момента ситуацията е патова, защото не се знаят повече подробности около този криптовирус и начините по които действа той и затова и няма полезни съвети и препоръки, които да следвате. Засега единственото, което можете да направите е да актуализирате редовно както софтуера, така и Linux дистрибуцията, която използвате на вашия сървър.
