Review

Hàng ngàn máy chủ Linux bị nhiễm bởi Lilu (Lilocked) Ransomware

A dòng ransomware mới có tên Lilocked hoặc Lilu đã ảnh hưởng đến hàng nghìn máy chủ chạy hệ điều hành Linux trên toàn thế giới. Phần mềm tống tiền bắt đầu lây nhiễm vào các máy chủ từ giữa tháng 7 nhưng trong hai tuần qua, các cuộc tấn công đã trở nên thường xuyên hơn.

Trường hợp đầu tiên của Lilocked ransomware được đưa ra ánh sáng khi người dùng tải lên một ghi chú ransomware trên ID Ransomware, một trang web được sử dụng để xác định tên của ransomware từ ghi chú hoặc yêu cầu ransomware được chỉ định trong cuộc tấn công.

Nó nhắm mục tiêu đến các máy chủ và có được quyền truy cập root của nó. Cơ chế đằng sau cách nó có quyền truy cập vẫn chưa được biết.

Theo một diễn đàn của Nga, những kẻ xấu có thể đang nhắm mục tiêu vào các máy chủ dựa trên Linux đang chạy phần mềm Exim không còn tồn tại.

Nhu cầu – 0,03 Bitcoin

Sau khi máy chủ bị tấn công, các tệp sẽ bị khóa với phần mở rộng tệp “.lilocked”.

ransomware lilocked
ZDNet

Ghi chú kèm theo các tệp được mã hóa có nội dung: “Tôi đã mã hóa tất cả dữ liệu nhạy cảm của bạn !!! Đó là một mã hóa mạnh, vì vậy đừng ngây thơ khi khôi phục nó;)

lưu ý ransomware lilocked
ZDNet

Khi nhấp vào liên kết trong ghi chú, người dùng được chuyển hướng đến một trang web trên dark web, nhắc họ nhập khóa vào ghi chú. Khi người dùng bị ảnh hưởng nhập khóa, họ được yêu cầu gửi 0,03 bitcoin hoặc 325 đô la vào ví Electrum để giải mã tệp của họ.

nhu cầu ransomware lilocked
ZDNet

Linux Ransomware không ảnh hưởng đến tệp hệ thống

Lilock ransomware không ảnh hưởng đến các tệp hệ thống nhưng các tệp có phần mở rộng bao gồm HTML, SHTML, JS, CSS, PHP, INI và các định dạng hình ảnh khác. Vì các tệp hệ thống không bị ảnh hưởng, hệ thống Linux đang chạy bình thường.

Theo Benkow, một nhà nghiên cứu bảo mật người Pháp, Lilock ransomware đã ảnh hưởng đến 6.700 máy chủ cho đến nay. Hầu hết các máy chủ này được lưu trong bộ nhớ cache trong kết quả tìm kiếm của Google. Tuy nhiên, số lượng máy chủ bị nhiễm có thể nhiều hơn vì có rất nhiều máy chủ Linux bị nhiễm không được lập chỉ mục trên Google.

Vì cơ chế đằng sau ransomware vẫn chưa được biết đến, nên không có lời khuyên bảo mật. Bạn có thể tránh cuộc tấn công này bằng cách giữ mật khẩu mạnh và cập nhật ứng dụng khi và khi các bản vá bảo mật đến.

Xem thêm: Apple ủng hộ mạnh mẽ Google và bảo vệ bảo mật iOS

Post Comment