Tusentals av webbservrar har blivit smittad och hade sina filer krypterade med en ny stam av ransomware som heter Lilocked (eller Lilu).
Infektioner har skett sedan mitten av juli, och har intensifierats under de senaste två veckorna, ZDNet har lärt sig.
Baserat på nuvarande bevis, Lilocked ransomware verkar mål Linux-baserat system.
Första rapporter datum till mitten av juli, efter vissa offer har laddat upp Lilocked lösen not/efterfrågan på ID Ransomware, en webbplats för att identifiera namnet på den ransomware som smittade offrets system.
#Ransomware Hunt: extension “.lilocked” observera “#README.lilocked” – https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR
— Michael Gillespie (@demonslay335) 20 juli, 2019
Hur Lilocked gäng överträdelser servrar krypterar och deras innehåll är för närvarande okänt. I en tråd på ett rysk-talande forum lägger fram teorin att skurkar kan vara inriktade på system som kör gamla Exim (e-post) programvara. Man nämner också att den ransomware lyckats få root-åtkomst till servrar med okända medel.
Servrar som drabbats av denna ransomware är lätta att upptäcka eftersom de flesta av sina filer är krypterade och sport en ny “.lilocked” file extension — se bild nedan.
Bild: ZDNet
En kopia av lösen not (heter #README.lilocked) finns tillgänglig i varje mapp där ransomware krypterar filer.
Bild: ZDNet
Användare omdirigeras till en portal på den mörka webben, och där är de i uppdrag att skriva in en nyckel från lösen not. Här Lilocked gänget visar ett andra lösen efterfrågan, frågar offer för 0,03 bitcoin (ca 325 sek).
Bild: ZDNet
Bild: ZDNet
Lilocked inte kryptera system filer, men bara en liten delmängd av filnamnstillägg, till exempel HTML, SHTML, JS, CSS, PHP, INI, och olika filformat.
Detta innebär infekterade servrar fortsätta att köra normalt. Enligt franska säkerhet forskare Benkow, Lilocked har krypterade mer än 6,700 servrar, av vilka många har indexerats och cachade i Googles sökresultat.
Bild: ZDNet
Men antalet offer är misstänkt för att vara mycket, mycket högre. Inte alla Linux-system för att köra web-servrar, och det finns många andra infekterade system som inte har indexerats i Googles sökresultat.
Eftersom den ursprungliga startpunkten för detta hot är fortfarande ett mysterium, det är omöjligt att ge något men generiska säkerhet råd till ägare server — som rekommenderas att använda unika lösenord för alla sina konton och hålla applikationer uppdaterad med säkerhetsfixar.
Den Lilocked gang inte svara på en begäran om kommentar skickas till den e-postadress som de är med i lösen not.
Säkerhet
Android på Google Play app med 100 miljoner nedladdningar börjar leverera malware
Microsoft: med Hjälp av multi-faktor autentisering block 99,9% av konto hacks
En ny sakernas internet botnet är att infektera Android-baserade set-top-boxar
Synd om SHA-2: Symantec flunkar grundläggande programmering (ZDNet YouTube)
Den bästa DIY home security system av 2019 (CNET)
De största it-säkerhet risker i den finansiella sektorn (TechRepublic)
Relaterade Ämnen:
Datacenter
Säkerhet-TV
Hantering Av Data
CXO