Исследователи обнаружили новый шифровальщик Lilu (Lilocked), который с июля атакует веб-серверы под управлением Linux. Преступники блокируют служебные файлы на взломанных хостах, оставляя саму систему в рабочем состоянии.

Особенности атак Lilu

Эксперты не могут определить, как зловред попадает на сервер. Среди возможных точек входа назывались уязвимости CMS WordPress и почтового клиента Exim. Специалисты смогут сделать точный вывод, только получив в свои руки образец Lilu, чего на момент публикации не произошло.

Для шифрования вымогатель применяет алгоритм AES, заблокированные файлы получают расширение *.lilocked. В каждой обработанной папке зловред оставляет записку, где жертву направляют на сайт в сети Tor для оплаты выкупа. По разным данным, злоумышленники требуют 0,01–0,03 BTC (6,8–20 тыс. рублей по курсу на день публикации).

Главная особенность Lilu — выбор объектов для шифрования: зловред интересуется файлами с расширениями HTML, SHTML, JS, CSS, PHP, INI, а также файлами изображений. Этот набор целей позволил аналитикам предположить, что вымогатель создан специально для атак на веб-серверы.

Ущерб от активности Lilu

Эксперты оценивают число жертв Lilu в 6–7 тыс. серверов. Такие выводы они делают по результатам поиска в Google, содержащим ссылки на документы с требованием выкупа, — поскольку зловред не трогает системные файлы, зараженные хосты остаются доступны.

В то же время специалисты допускают, что реальные масштабы заражения гораздо больше, поскольку применение Linux не ограничивается веб-серверами, а из последних далеко не все индексируются Google.

В отсутствие достоверных данных о векторах атак Lilu администраторам Linux рекомендуют установить на своих системах сильные пароли и обновить используемое ПО.

В августе от атаки неизвестного шифровальщика пострадали более 20 государственных организаций в Техасе. Злоумышленники потребовали выкуп в $2,5 млн, однако власти предпочли устранить последствия атаки самостоятельно.