Nowy algorytm typu ransomware atakuje serwery z systemem Linux

Od połowy lipca niektóre serwery bazujące na systemie z rodziny Linux padają ofiarą nowego ataku typu ransomware, o nazwie LILU (Lilocked). Jak donosi ZDNet w ostatnich dwóch tygodniach liczba zainfekowanych maszyn wyraźnie się zwiększyła i wszystko wskazuje na to, że atakowane są przede wszystkim urządzenia z zainstalowanym oprogramowaniem Exim w wersji 3.x i starszej. Aktualnie najnowsza wersja tego mailera to 4.92.2, a ostatnie wydanie załatało znaną powszechnie lukę CVE-2019-15846, która może być kluczem do skuteczności Lilockeda. Podobnie jak w przypadku innych algorytmów ransomware za dostęp do zaszyfrowanych plików napastnicy żądają określonej kwoty wyrażonej w bitcoinach.

Tym razem nie jest ona specjalnie wygórowana i wynosi 0.03 bitcoina (około $325). Również procedura odzyskania danych jest typowa. Aby pozyskać klucz należy odwiedzić dedykowaną stronę w darknecie i wpisać klucz umieszczony w pliku README, który jest tworzony w każdym z folderów. Co ciekawe szyfrowane są jedynie pliki z rozszerzeniem HTML, SHTML, JS, CSS, PHP, INI oraz obrazy (JPEG, PNG, GIF, itd.) a pliki systemowe są pozostawione nietknięte, dzięki czemu sam serwer działa bez zarzutu. Wszystkie zaszyfrowane pliki mają rozszerzenie *.Lilocked. Sprawa jest rozwojowa i na razie nie ma żadnych specjalnych wytycznych w kwestii zabezpieczeń ani tym bardziej alternatywnych opcji na odzyskanie zaszyfrowanych danych.