LINUX.ORG.RU

Lilocked (Lilu) - вредоносная программа для linux систем

 ,


3

3

Lilocked - ориентированная на linux вредоносная программа, шифрующая файлы на жёстком диске с последующим требованием выкупа (ransomware).

По данным ZDNet, первые сообщения о зловреде появились в середине июля, с тех пор поражено более 6700 серверов. Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений, оставляя нетронутыми системные файлы. Зашифрованные файлы получают расширение .lilocked, в каждой директории с такими файлами пояляется текстовая заметка #README.lilocked со ссылкой на сайт в сети tor, по ссылке размещено требование заплатить 0.03 BTC (около $325).

Точка проникновения Lilocked в систему на данный момент неизвестна. Предположительна связь с недавно закрытой критической уязвимостью в Exim.

>>> Подробности

★★★★

Проверено: Shaman007 ()

ЛОР как всегда красавчик, как всегда тормозит.

Deleted
()
Ответ на: комментарий от abondarev

А точно, это видать стандарт такой 0.03 BTC

Вот тупой вымогатель по mysql. натыкался на сообщения о нём в сети

To recover your lost Database send 0.03 Bitcoin (BTC) to our Bitcoin address 17MdANTVUPfn1SaqbbTQCNgAvQnoaQ6M2s and contact us by Email with your Server IP or Domain name and a Proof of Payment. Your Database is downloaded and backed up on our servers. Any email without your server IP Address or Domain Name and a Proof of Payment together will be ignored. If we dont receive your payment in the next 10 Days, we will delete your backup.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

Не хватает в линуксе нормального антивируса, конечно. Что в венде, что в мокинтоше есть встроенные. Думаю, нужно включить его в systemd, чтобы во всех дистрах был един.

Legioner ★★★★★
()

Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений, оставляя нетронутыми системные файлы

В чём смысл? Оно ж и так в SCM должно быть.

theNamelessOne ★★★★★
()
Ответ на: комментарий от fornlr

Скорее это связано с ограничениями в законодательстве в сфере переводов средств.

anonymous
()
Ответ на: комментарий от theNamelessOne

Оно ж и так в SCM должно быть.

Ключевое слово «должно». Расчёт очевидно на мелкие сайты у которых процесс разработки поставлен никак. Таких в интернетах большинство

MrClon ★★★★★
()

Ну норм, не осилившие бэкапы и chef/puppet/annsible для хранения конфига должны страдать ;)

ncrmnt ★★★★★
()
Ответ на: комментарий от quester

На великом и могучем лучше не скажешь, если не пускаться в бюрократическое словоблудие. Пускай будет дядя Женя.

Myau ★★★★
() автор топика
Ответ на: комментарий от Deleted

Потому что это хорошее и выразительное слово.

на ваш субъективный взгляд. на мой субъективный взгляд слово отвратительное - из лексикона бухого дяди Жени

quester ★★
()
Ответ на: комментарий от ncrmnt

Ага, специально для таких доброжелателей как ты нужно вывести жратву, которую опасно готовить без предварительного курса обучения.
Взялся варить макароны? Сварил отраву и сдох потому что нарушил техпроцесс на 2%. Не осилившие готовку должны страдать, да.

Deleted
()

Ящитаю что создателей вирусов на линуксе нужно расстреливать. А на винду наоборот поощрять :>

egorcod
()

Lilocked шифрует файлы HTML, SHTML, JS, CSS, PHP, INI и различные форматы изображений

т.е. полезную информацию он не шифрует, только то что легко заметить и так же легко восстановить без каких-либо потерь вообще. Такой шифровальщик не нужен

SR_team ★★★★★
()
Ответ на: комментарий от quester

«зловред» - это слово из лексикона бухого дяди Жени. нафига его использовать?

а по моему самые зловреды обитают на хабре.
обилие псевдотехнического и псевдонаучного сленга, там , где он Нафиг не Всрался.

darkenshvein ★★★★★
()
Ответ на: комментарий от anonymous

антивируса. в мокинтоше есть встроенные

ну там совсем простой на загружаемые файлы (XProtect)

По-моему и у линуксоидов есть подобное при использовании Chrome? Хотя не, вроде ещё не засадили

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 2)

Точка проникновения Lilocked в систему на данный момент неизвестна.

В смысле ? Может стоит написать: Точку проникновения Lilocked в систему на данный момент не разглашают ?

Вообще судя по набору файлов шифрования это какой нибудь nginx, или вообще движок аля вордрпресс.

mx__ ★★★★★
()
Ответ на: комментарий от Legioner

Не хватает в линуксе нормального антивируса

Сарказм? В GNU/Linux есть прекрасные средства для усиления безопасности: AppArmor, SELinux и Ко. Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

ls-h ★★★★★
()
Ответ на: комментарий от ls-h

Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

Очень просто, это сложно настраивать. Касаемо десктопов сложнее в квадрате.

Как-то было дело, разработчик SELinux писал при бабахе уязвимости в Firefox на линуксах c PDF.js

PS: про SELinux так вообще наверно половина его просто вырубает, чтобы не мешался :D

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

Сходил по ссылке, хм, что правда при шифровании и переименование файла его дата не меняется ?

Может это просто фейк ?

mx__ ★★★★★
()
Последнее исправление: mx__ (всего исправлений: 1)

видимо, ориентирована на тех, кто до сих пор держит php проекты в хомяках, да?

bvn13 ★★★★★
()

это очень приколько. вирус-вымогатель на линуксе, кто бы мог подумать. но т.к. линукс - это ос для серверов, то он вымогает биткоины с серверов. я орнул, а потом заплакал. пойду поставлю kaspersky free.

anonymous
()
Ответ на: комментарий от fornlr

PS: про SELinux так вообще наверно половина его просто вырубает, чтобы не мешался :D

Есть ощущение что ВЫ шапку/федору юзали лет 5-6 назад. Там давно ничего не мешается и понаделали утилит чтобы это поправить было просто любому.

mx__ ★★★★★
()
Ответ на: комментарий от fornlr

это сложно настраивать

Про AA не сказал бы, что сложно.
И, насколько я помню, со многими дистрибутивами есть готовые шаблоны.

ls-h ★★★★★
()
Ответ на: комментарий от ncrmnt

Ну норм, не осилившие бэкапы и chef/puppet/annsible для хранения конфига должны страдать ;)

Страдать будешь все равно ты, потому что сервер все равно придется реинсталлировать, и скажешь спасибо если это будет ВПСка с большой зеленой кнопкой «CREATE», а не дедик у дяди Васи в датацентре за сотню км от твоего офиса, куда ты умник поедешь за свой счет с кучей флешек реинсталлить ОСь.

windows10 ★★★★★
()

Где можно скачать?

anonymous
()

Точка проникновения Lilocked в систему на данный момент неизвестна

Дай угадаю, распространяется как зависимость разных npm пакетов

vertexua ★★★★★
()
Последнее исправление: vertexua (всего исправлений: 1)
Ответ на: комментарий от vertexua

Npm, pip, go get, cargo install. Антивирусов нет под Линупс, потому что от них нет толка.

anonymous
()
Ответ на: комментарий от ls-h

Вопрос в том, почему они не используются в полную мощь до сих пор? Посему _каждая_ программа не запускается с минимальными правами?

Потому что неюзабельный переусложнённый пиз**ц.

anonymous
()
Ответ на: комментарий от ls-h

И, насколько я помню, со многими дистрибутивами есть готовые шаблоны.

Так они слабые. Короче кнопки сделать хорошо нет и не будет, так что-то среднее.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 1)

После удачного шифрования сервер был перезагружен, логи тоже оказались зашифрованы, а тело зловреда по всей видимости, удалено.

бинарные логи - это штатная работа одной так называемой системы инициализации. вы вообще уверены, что это вирус, может какая-то опция не выставлена, а умолчание изменилось? в треде есть сертифицированный эксперт по так называемым системам инициализации?

anonymous
()
Ответ на: комментарий от mx__

Есть ощущение что ВЫ шапку/федору юзали лет 5-6 назад

девять 🤨

Там давно ничего не мешается и понаделали утилит чтобы это поправить было просто любому.

Твои слова уже противоречие содержат. Если ничего не мешается, то зачем понаделали утилит (даже несколько), чтобы править?

И да, речь не о тебе, о таком правильном и умном (может быть), а о общей ситуации. А тут такого опроса не было (используете/отключаете)?

Вот в Ubuntu за 10 лет один раз только Apparmor помешался с i2pd. Но тут естественно возникает предположение, что он просто слаб с дефолтными настройками.

fornlr ★★★★★
()
Последнее исправление: fornlr (всего исправлений: 2)
Ответ на: комментарий от Legioner

кстати хорошая идея. хоть какая-то польза будет от системдоса :)

Rost ★★★★★
()

Точка проникновения Lilocked в систему на данный момент неизвестна.

Лингвисты утверждают, что это LILO.

kostyarin_ ★★
()
Ответ на: комментарий от tramvai

Общеизвестный факт - под линукс вирусов нет.

А что вы хотели, 2% на десктопе — это вам не шутки!

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.