Шифровальщик Lilocked заразил тысячи Linux-серверов

ИБ-специалисты заметили нового шифровальщика Lilocked (он же Lilu), который уже атаковал более 6000 серверов, и похоже, малварь предназначена только для Linux-систем.

Первые заражения были зафиксированы еще середине июля 2019 года, однако до сих пор неясно, как именно Lilocked проникает на серверы своих жертв. Когда известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie) написал о шифровальщике в своем Twitter, пользователи стали сообщать, что были атакованы, к примеру, через уязвимости в Exim или пострадали из-за использования старых версий WordPress.

Пораженные этим вымогателем серверы легко обнаружить, так как большинство файлов на них зашифрованы и имеют расширение .lilocked. Исследователи отмечают, что Lilocked не шифрует системные файлы, чтобы сервер мог продолжать работать, но «портит» файлы HTML, SHTML, JS, CSS, PHP, INI и различные файлы изображений.

Копия послания с требованием выкупа (с именем #README.lilocked) доступна в каждой папке, где вымогатель шифрует файлы. Пострадавшим предлагают посетить сайт в даркнете, где нужно ввести ключ из записки с требованием выкупа. Уже здесь у жертв требуют 0,03 биткоина (примерно 325 долларов США по текущему курсу).

По словам французского ИБ-специалста, известного под псевдонимом Benkow, вымогатель поразил уже более 6700 серверов, многие из которых проиндексированы поисковиками, так что их можно легко обнаружить через Google.

К сожалению, реальное число жертв Lilocked, вероятнее всего, намного выше, так как далеко не везде есть веб-серверы, и многие зараженные системы не фигурируют в результатах поиска Google. Как именно работает Lilocked, и можно ли спасти пострадавшую информацию, не выплачивая выкуп  злоумышленникам, пока неизвестно, так как экспертам пока не удалось обнаружить и изучить образец самой малвари.

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (4)

  • Господа,
    В статье не указаны типы и версии линя, одной Убунты дофига, а ее подверсий еще больше, кто-то и сегодня сидит на 10, а у кого-то самая последняя версия, а значит разные библиотеки, ядра и т.п., шифровальщик просто не сможет работать.
    Значит вся эта куча серверов работала под определеным линухом и одной из версий, какой?

    • далеко не факт что это скомпиленый бинарник. скриптовые языки есть если не на всех, то на подавляющем большинстве linux дистрибутивов по умолчанию(python как пример). скриптовыми яп может быть описана сама "архитектура" приложения, а часть дергаться динамически, что уже не будет зависеть от версии ядра. вообщем вариантов то много. слишком мало подробностей о самом шифровальщике(на чем написан, какие алгоритмы использует)...

  • интересно, эта малварь бинарник свой на файловой системе держит или полностью в памяти, если в только памяти то автору неплохо было бы дампнуть процесс и восстановить ELF для анализа