成千上万的网络服务器已经被感染,并且他们的文件被一种名为Lilocked(或Lilu)的新型勒索软件加密。ZDNet了解到,感染自7月中旬以来一直在发生,并在过去两周内愈演愈烈。根据目前的证据,Lilocked勒索软件似乎只针对Linux系统。首先报告的日期是7月中旬,一些受害者上传了Lilocked赎金票据/要求ID Ransomware,这是一个用于识别感染受害者系统的勒索软件名称的网站。
Lilocked团队破坏服务器并加密其内容的方式目前尚不清楚。俄语论坛上的一个帖子提出了骗子可能针对运行过时的Exim(电子邮件)软件系统的理论。它还提到勒索软件设法通过未知方式获得对服务器的root访问权限。受此勒索软件攻击的服务器很容易被发现,因为他们的大多数文件都是加密的,并带有一个新的“.lilocked”文件扩展名 - 见下图。
图片:ZDNet在勒索软件加密文件的每个文件夹中都有一份赎金记录(名为#README.lilocked)。
图片:ZDNet用户被重定向到暗网上的门户网站,在那里他们被指示从勒索信息中输入密钥。在这里,Lilocked团伙显示第二个赎金需求,向受害者索要0.03比特币(约325美元)。
图片:ZDNet
图片:ZDNetLilocked不加密系统文件,只加密文件扩展的一小部分,如HTML,SHTML,JS,CSS,PHP,INI和各种图像文件格式。这意味着受感染的服务器继续正常运行。根据法国安全研究员Benkow的说法,Lilocked已经加密了超过6,700台服务器,其中许多服务器已被索引并缓存在Google搜索结果中。
图片:ZDNet但是,怀疑受害者人数要多得多。并非所有Linux系统都运行Web服务器,还有许多其他受感染的系统尚未在Google搜索结果中编入索引。因为这个威胁的初始入口点仍然是个谜,所以除了向服务器所有者提供通用安全建议之外,不可能提供任何建议 - 建议他们为所有帐户使用唯一密码,并使应用程序与安全补丁保持同步。Lilocked团伙没有回复发送到他们在赎金票据中列出的电子邮件地址的评论请求。