هزاران سرور لینوکس به باج افزار Lilocked آلوده شدند

رضا فرخندگان ۲۶ شهریور ۱۳۹۸ ۰ دیدگاه

محققان باج افزار جدیدی را کشف کردند که سرورهای لینوکس را هدف قرار می‌دهد. هزاران وب‌سرور به باج‌افزار Lilocked یا به اختصار Lilu آلوده شده و فایل‌های داخلی توسط آن رمزگذاری شده‌اند.

 بر اساس گزارش ZDNet اولین حملات این باج افزار در اواسط ماه july یا شهریور اتفاق افتاد و تا دو هفته بعد آن شدت بیشتری یافت.

هزاران سرور لینوکس به باج افزار Lilocked آلوده شدند

بر اساس گزارشات دلیل شکل‌گیری باج‌ افزار Lilocked آن است که سیستم‌های مبتنی بر لینوکس را هدف قرار دهد. همانگونه که در تصویر زیر مشاهده می‌کنید، تاریخ اولین گزارش از حمله باج افزار Lilocked مربوط به اواسط شهریور است که قربانیان خبر این حمله را اعلام کردند:

هزاران سرور لینوکس به باج افزار Lilocked آلوده شدند

شیوه حمله باج افزار Lilocked

نحوه‌ی حمله‌ی این باج افزار به سرور و روش رمزگزاری فایل‌ها هنوز شناخته نشده است. در انجمن روسی زبانان این موضوع به این صورت مطرح شد که این باج‌افزار  سیستم‌هایی را که از نرم‌افزارهای منسوخ شده Exim email استفاده کرده مورد حمله قرار داده و بنا به دلایل ناشناخته طوری مدیریت شده تا به روت سرورها نفوذ پیدا کند.

دسترسی به فایل‌های رمزگذاری شده در سرورهای آسیب دیده به این باج‌افزار بسیار آسان است. سرورهای آسیب دیده توسط این باج‌افزار به راحتی قابل دسترسی هستند؛ زیرا اکثر فایل‌های داخلی آن‌ها رمزگذاری شده‌اند و یک پسوند جدید “.lilocked” به آن‌ها اضافه شده است، تصویر زیر را ملاحظه کنید:

باج افزار Lilocked

یک کپی از فایل REDAME.lilocked در فولدرهای حاوی فایل‌های رمزگذاری شده در سرورها قرار می‌گیرد:

هزاران سرور لینوکس به باج افزار Lilocked آلوده شدند

کاربران به پورتالی در dark web هدایت می‌‎شوند. جایی که به آن‌ها دستور داده می‌شود یک key را از فایل note این باج افزار برداشته و آن را وارد کنند.

باج افزار Lilocked

در اینجا باج افزار Lilocked تقاضای دوم خود از قربانیان، مبنی بر پرداخت ۰.۰۳ بیت کوین یا همان $۳۲۵ را خواهد داشت.

باج افزار Lilocked

نحوه رمزگذاری فایل ها

در حقیقت باج افزار Lilocked تمامی فایل‌های سیستم را رمزگذاری نمی‌کند‌، بلکه بیشتر فایل‌هایی که دارای پسوند HTML  SHTML, JS, CSS, PHP, INI و بعضی از فرمت‌های عکس را رمزگذاری می‌کند. این بدان معنی است که سرورهای آسیب دیده به طور عادی می‌توانند به کار خود ادامه دهند.

به گفته محقق امنیتی فرانسه، Lilocked بیش از ۶۷۰۰ سرور را رمزگذاری کرده است که بسیاری از آن‌ها در نتایج جست‌وجوی گوگل ایندکس و کش شده‌اند.

باج افزار Lilocked

با این حال‌، به نظر می‌رسد تعداد قربانیان بسیار بیشتر باشد. به‌دلیل آنکه همه‌ی سیستم‌های لینوکس، وب سرور اجرا نمی‌کنند و بسیاری از سیستم‌های آلوده دیگر نیز وجود دارند که در نتایج جست‌وجوی Google ایندکس نشده‌اند.

سخن آخر

از آنجا که نقطه ورود اولیه برای این تهدید همچنان ناشناخته باقی مانده‌ است‌، توصیه‌های امنیتی عمومی برای صاحبان سرور پیشنهاد می‌شود. توصیه می‌شود از رمز عبور منحصر به فرد برای همه حساب‌های خود استفاده کنید و برنامه‌ها را با patch های امنیتی به‌روز نگه دارید.

فناوران شبکه سینداد (آهنگ نوآوری)

سینداد یعنی هدیه‌ی سیمرغ، یا فرزند سیمرغ؛ به عبارتی یعنی خود سیمرغ، با همه ی شگفتی هایش، اما جوانتر و سرزنده تر. و این چیزی است که ما سعی می کنیم در سینداد باشیم. از سال ۱۳۸۵ دانش مان را به صورت خدماتی در حوزه ی هاستینگ، شبکه و تولید نرم افزار در اختیار مشتریان مان قرار داده ایم و به این افتخار می کنیم که تک تک آنها تا به امروز همراه ما مانده اند. باور داریم که سینداد صرفاً یک شرکت نیست، بلکه نوعی باور است به ارائه ی شگفت انگیز از هر چیز.