LINUX.ORG.RU

Lilocked (Lilu) - вредоносная программа для linux систем

 ,


3

3

Lilocked - ориентированная на linux вредоносная программа, шифрующая файлы на жёстком диске с последующим требованием выкупа (ransomware).

По данным ZDNet, первые сообщения о зловреде появились в середине июля, с тех пор поражено более 6700 серверов. Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений, оставляя нетронутыми системные файлы. Зашифрованные файлы получают расширение .lilocked, в каждой директории с такими файлами пояляется текстовая заметка #README.lilocked со ссылкой на сайт в сети tor, по ссылке размещено требование заплатить 0.03 BTC (около $325).

Точка проникновения Lilocked в систему на данный момент неизвестна. Предположительна связь с недавно закрытой критической уязвимостью в Exim.

>>> Подробности

★★★★

Проверено: Shaman007 ()

Ответ на: комментарий от Legioner

В макосе ближе к SELinux, чем к антивирусу, хотя какая разница, у нас у всех и так процы дырявые.

ponchik-2 ()
Ответ на: комментарий от WitcherGeralt

Злой старый дед, а сам коворкинг говоришь, а не комната для всего :)

ponchik-2 ()
Ответ на: комментарий от Borifed

Тоже считаю это слово выдающейся омерзительности образцом новояза.

Какой же это новояз? Слово было широко распространено среди читателей журнала Ксакеп в конце 90-х - начале 2000-х

Vinni_Pooh ★★★★★ ()
Ответ на: комментарий от anonymous

Не против, но когда говорят «мэнэджбл», рука тянется к лицу.

Тут шутка про «К чьему»

Ну учитывая, что ржал Ведьмак, думаю они сделали выводы что лицо может оказаться как раз таки их родное, поэтому и слиняли :)

anc ★★★★★ ()
Ответ на: комментарий от Vinni_Pooh

Какой же это новояз? Слово было широко распространено среди читателей журнала Ксакеп в конце 90-х - начале 2000-х

Я тоже про это подумал, но уже и так слово «давно уже» слишком много раз в этом треде написал. Не знаю откуда тут все повылазили из какого бункера

PS: хотя я «мэлварь» привык называть, но над этим в коворкинге всякие там смеяться оказывается могут :D

fornlr ★★★★★ ()
Последнее исправление: fornlr (всего исправлений: 1)

Где скачать? Почему нет ссылки на гитхаб?

imul ★★★★★ ()
Ответ на: комментарий от imul

Хочешь звездочки поставить или форкнуть?

anonymous ()
Ответ на: комментарий от ls-h

Сарказм? В GNU/Linux есть прекрасные средства для усиления безопасности: AppArmor, SELinux и Ко. Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

Потому, что перемудрили. Деды изобрели гениальную систему прав. ugo rwx и всё. Все понимают, все используют. А всё остальное неудобно. Хотя в RHEL-е вроде включён SELinux но в народ не пошёл, первое, что делает большинство сисадминов это отключают его, чтобы не мешался под ногами.

Legioner ★★★★★ ()
Ответ на: комментарий от ls-h

В GNU/Linux есть прекрасные средства для усиления безопасности: AppArmor, SELinux и Ко.

apparmor я использую, selinux местами да, но обычно нет, оно не для реальной жизни.

anonymous ()
Ответ на: комментарий от Legioner

его отключают не только сисадмины. он по-умолчанию запрещает соединения с локалхоста на локалхост. ты запускаешь веб-сервер на 127.0.0.1:9876, делаешь curl http://127.0.0.1:9876 и начинаешь тихо охреневать потому что оно не работает и не понятно почему.

давайте лучше вирус-шифровальщик, там хоть понятно, что оно зашифровано и что надо сделать чтобы расшифровать. в треде по ссылке писали, что за 7к рублей расшифровали, это дешевле чем возиться с «я всё запустил, а оно не работает».

anonymous ()
Ответ на: комментарий от fornlr

Твои слова уже противоречие содержат. Если ничего не мешается, то зачем понаделали утилит (даже несколько), чтобы править?

да есть некоторые личности которые мнят что то понимают, начинают в дистр ставить левый софт с не официальных реп (что еще хуже вообще не с рпм) вот для таких и понаделали всяких утилит чтобы они не вопили на каждом углу как сложен селинукс и что он мешает им жить.

mx__ ★★★★★ ()
Ответ на: комментарий от mx__

движок аля вордрпресс.

Более чем вероятно, учитывая полное отсутствие культуры разработки в этой сфере.

crutch_master ★★★★★ ()
Ответ на: комментарий от crutch_master

Более чем вероятно, учитывая полное отсутствие культуры разработки в этой сфере.

другое поражает. В треде обсуждают всякую чушь а не странности новости.

mx__ ★★★★★ ()
Ответ на: комментарий от anc

Точнее писал, что под онтопик такой шифровальшик написать проще чем под шинду.

Да там практически однострочник на баш.

crutch_master ★★★★★ ()
Ответ на: комментарий от praseodim

Видимо расчет на то, что 300 баксов (в пересчете) может быть и заплатят, а например 1000 уже вряд ли.

А какой смысл платить? Если кто-то пролез то всё равно всё переставлять, какой профит от выплаты?

ya-betmen ★★★★★ ()

Точка проникновения Lilocked в систему на данный момент неизвестна

Как обычно кто-то из админов ходил через путти?

ya-betmen ★★★★★ ()
Ответ на: комментарий от Legioner

google://connection to localhost doesnt work google://localhost connection refused google://fuck my life google://how to suicide ... dnf uninstall selinux или как оно там

вообще, в теории, соединение с локалхоста на локалхост не должно покидать пределы ядра, т.е. такое соединение является сетевым только условно. зачем селинукс это делает я вообще не понимаю. вишенка на торте: на 80 порту работает, на не 80 не работает. это какой-то мозг рака.

anonymous ()

Три страницы обсуждений и никто не спросил, не рассказал, как именно происходит расшифровка файлов после оплаты? Тебе дают ключ или что? Если ключ, то выходит он какой-то универсальный, для всех?

Lorovec ()
Ответ на: комментарий от crutch_master

Пароль на ssh - превед.

Не, всё же сложновато. Обычно всё же уязвимости. Тем более что половину линуксовых серверов крутят софт с 1-day уязвимостями...

fornlr ★★★★★ ()

Парни, не сочтите набросом на вентилятор, но что делать, чтобы такого не было? И работает ли данная «фича» на *BSD системах?

Desmond_Hume ★★★★★ ()
Ответ на: комментарий от crutch_master

Ну практически так и есть. По факту из тех которые я препарировал под шинду, это лютый комайн *.cmd с кучей ненужного кода. Полезного там всего на несколько строк.

anc ★★★★★ ()
Ответ на: комментарий от kirk_johnson

Не, не начал, просто ты сам хамло отборное, странно с твоей стороны такое слышать.

WitcherGeralt ★★ ()
Ответ на: комментарий от anonymous

Ну типа если твой curl взломали (гыгы), чтобы взломанный curl не мог вытащить приватную информацию, доступную через localhost.

Legioner ★★★★★ ()
Ответ на: комментарий от Lorovec

Из того что я видел виндового. Это обычный pgp, тебе дают ключ. Ключ скорее всего не универсальный, генерируем под каждого. Как-то так.
ЗЫ Ранее по шинду ещё попадался rar с убер длинным паролем. Но это было в самом начале.

anc ★★★★★ ()
Ответ на: комментарий от WitcherGeralt

Не, не начал, просто ты сам хамло отборное

От меня ни разу не отсаживались подальше в коворкинге.

kirk_johnson ★☆ ()
Ответ на: комментарий от kirk_johnson

Если ты оффлайн можешь себе позволить меньше чем я, это ещё не делает тебя меньшим хамлом, онлайн ты всё равно оно самое.

WitcherGeralt ★★ ()
Ответ на: комментарий от WitcherGeralt

Если ты оффлайн можешь себе позволить меньше чем я, это ещё не делает тебя меньшим хамлом, онлайн ты всё равно оно самое.

На лоре в Talks? Господи, да сюда приходят ради клоунады, о чем ты вообще. Не могу себе представить человека, который бы на меня серьезно обиделся за срач в лолксах.

P.S.

Если ты оффлайн можешь себе позволить меньше чем я, это ещё не делает тебя меньшим хамлом

Я правильно понимаю, что единственное, что тебя останавливает от хамства, это угроза по морде получить? :D

kirk_johnson ★☆ ()
Последнее исправление: kirk_johnson (всего исправлений: 2)
Ответ на: комментарий от gremlin_the_red

шутки шутками

коллега напарывался на RPM которая на шаге install применяла пач Бармина. :(

mumpster ★★★★★ ()
Ответ на: комментарий от Deleted

поддержу! и про ксакеп тоже верно отписались ))

mumpster ★★★★★ ()
Ответ на: комментарий от fornlr

требование заплатить 0.03 BTC

Чего-то как-то совсем по нищебродному.

особенно, если цена за 100 грамм один файл

crypt ★★★★★ ()
Ответ на: комментарий от Legioner

Не хватает в линуксе нормального антивируса, конечно. Что в венде, что в мокинтоше есть встроенные. Думаю, нужно включить его в systemd, чтобы во всех дистрах был един.

не, так касперский с симантеком подерутся. я за честную конкуренцию: кто первый встал, того и файлы.

crypt ★★★★★ ()
Ответ на: комментарий от Allakka

Нуда конечно, у части файлов поправили время (кстати почему на 17 год ?) а у части нет :(

mx__ ★★★★★ ()
Ответ на: комментарий от MrClon

Вместо мелких сайтов сейчас же стильно-модно-молодёжно вести страницы в соц.сетях.

te111011010 ()
Ответ на: комментарий от mx__

Скорее всего touch -r file_old file_new. Какое время было у файла до шифрования, то и стало после.

Allakka ★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.