LINUX.ORG.RU

Lilocked (Lilu) - вредоносная программа для linux систем

 ,


3

3

Lilocked - ориентированная на linux вредоносная программа, шифрующая файлы на жёстком диске с последующим требованием выкупа (ransomware).

По данным ZDNet, первые сообщения о зловреде появились в середине июля, с тех пор поражено более 6700 серверов. Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений, оставляя нетронутыми системные файлы. Зашифрованные файлы получают расширение .lilocked, в каждой директории с такими файлами пояляется текстовая заметка #README.lilocked со ссылкой на сайт в сети tor, по ссылке размещено требование заплатить 0.03 BTC (около $325).

Точка проникновения Lilocked в систему на данный момент неизвестна. Предположительна связь с недавно закрытой критической уязвимостью в Exim.

>>> Подробности

★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от abondarev

А точно, это видать стандарт такой 0.03 BTC

Вот тупой вымогатель по mysql. натыкался на сообщения о нём в сети

To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address 17MdANTVUPfn1SaqbbTQCNgAvQnoaQ6M2s and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. Any email without your server IP Address or Domain Name and a Proof of Payment together will be ignored. If we dont receive your payment in the next 10 Days, we will delete your backup.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

Не хватает в линуксе нормального антивируса, конечно. Что в венде, что в мокинтоше есть встроенные. Думаю, нужно включить его в systemd, чтобы во всех дистрах был един.

Legioner ★★★★★ ()

Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений, оставляя нетронутыми системные файлы

В чём смысл? Оно ж и так в SCM должно быть.

theNamelessOne ★★★★★ ()
Ответ на: комментарий от theNamelessOne

Оно ж и так в SCM должно быть.

Ключевое слово «должно». Расчёт очевидно на мелкие сайты у которых процесс разработки поставлен никак. Таких в интернетах большинство

MrClon ★★★★★ ()
Ответ на: комментарий от alexferman

Потому что это хорошее и выразительное слово.

на ваш субъективный взгляд. на мой субъективный взгляд слово отвратительное - из лексикона бухого дяди Жени

quester ()
Ответ на: комментарий от ncrmnt

Ага, специально для таких доброжелателей как ты нужно вывести жратву, которую опасно готовить без предварительного курса обучения.
Взялся варить макароны? Сварил отраву и сдох потому что нарушил техпроцесс на 2%. Не осилившие готовку должны страдать, да.

ZweiStein ★★ ()

Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений

т.е. полезную информацию он не шифрует, только то что легко заметить и так же легко восстановить без каких-либо потерь вообще. Такой шифровальщик не нужен

SR_team ★★★ ()
Ответ на: комментарий от quester

«зловред» - это слово из лексикона бухого дяди Жени. нафига его использовать?

а по моему самые зловреды обитают на хабре.
обилие псевдотехнического и псевдонаучного сленга, там , где он Нафиг не Всрался.

darkenshvein ★★★★★ ()
Ответ на: комментарий от anonymous

антивируса. в мокинтоше есть встроенные

ну там совсем простой на загружаемые файлы (XProtect)

По-моему и у линуксоидов есть подобное при использовании Chrome? Хотя не, вроде ещё не засадили

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 2)

Точка проникновения Lilocked в систему на данный момент неизвестна.

В смысле ? Может стоит написать: Точку проникновения Lilocked в систему на данный момент не разглашают ?

Вообще судя по набору файлов шифрования это какой нибудь nginx, или вообще движок аля вордрпресс.

mx__ ★★★★★ ()
Ответ на: комментарий от Legioner

Не хватает в линуксе нормального антивируса

Сарказм? В GNU/Linux есть прекрасные средства для усиления безопасности: AppArmor, SELinux и Ко. Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

ls-h ★★★ ()
Ответ на: комментарий от ls-h

Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

Очень просто, это сложно настраивать. Касаемо десктопов сложнее в квадрате.

Как-то было дело, разработчик SELinux писал при бабахе уязвимости в Firefox на линуксах c PDF.js

PS: про SELinux так вообще наверно половина его просто вырубает, чтобы не мешался :D

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

это очень приколько. вирус-вымогатель на линуксе, кто бы мог подумать. но т.к. линукс - это ос для серверов, то он вымогает биткоины с серверов. я орнул, а потом заплакал. пойду поставлю kaspersky free.

anonymous ()
Ответ на: комментарий от fornlr

PS: про SELinux так вообще наверно половина его просто вырубает, чтобы не мешался :D

Есть ощущение что ВЫ шапку/федору юзали лет 5-6 назад. Там давно ничего не мешается и понаделали утилит чтобы это поправить было просто любому.

mx__ ★★★★★ ()
Ответ на: комментарий от ncrmnt

Ну норм, не осилившие бэкапы и chef/puppet/annsible для хранения конфига должны страдать ;)

Страдать будешь все равно ты, потому что сервер все равно придется реинсталлировать, и скажешь спасибо если это будет ВПСка с большой зеленой кнопкой «CREATE», а не дедик у дяди Васи в датацентре за сотню км от твоего офиса, куда ты умник поедешь за свой счет с кучей флешек реинсталлить ОСь.

windows10 ()
Ответ на: комментарий от ls-h

Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

Потому что неюзабельный переусложнённый пиз**ц.

anonymous ()
Ответ на: комментарий от ls-h

И, насколько я помню, со многими дистрибутивами есть готовые шаблоны.

Так они слабые. Короче кнопки сделать хорошо нет и не будет, так что-то среднее.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

После удачного шифрования сервер был перезагружен, логи тоже оказались зашифрованы, а тело зловреда по всей видимости, удалено.

бинарные логи - это штатная работа одной так называемой системы инициализации. вы вообще уверены, что это вирус, может какая-то опция не выставлена, а умолчание изменилось? в треде есть сертифицированный эксперт по так называемым системам инициализации?

anonymous ()
Ответ на: комментарий от mx__

Есть ощущение что ВЫ шапку/федору юзали лет 5-6 назад

девять 🤨

Там давно ничего не мешается и понаделали утилит чтобы это поправить было просто любому.

Твои слова уже противоречие содержат. Если ничего не мешается, то зачем понаделали утилит (даже несколько), чтобы править?

И да, речь не о тебе, о таком правильном и умном (может быть), а о общей ситуации. А тут такого опроса не было (используете/отключаете)?

Вот в Ubuntu за 10 лет один раз только Apparmor помешался с i2pd. Но тут естественно возникает предположение, что он просто слаб с дефолтными настройками.

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 2)