成千上万的网络服务器已经被感染,并且他们的文件被一种名为 Lilocked(或 Lilu)的新型勒索软件加密。
ZDNet 了解到,感染自7月中旬以来一直在发生,并在过去两周内愈演愈烈。根据目前的证据,Lilocked 勒索软件似乎只针对 Linux 系统。首先报告的日期是7月中旬,一些受害者上传了 Lilocked 赎金票据。
Lilocked 团队破坏服务器并加密其内容的方式目前尚不清楚。俄语论坛上的一个帖子提出了骗子可能针对运行过时的 Exim(电子邮件)软件系统的理论。它还提到勒索软件设法通过未知方式获得对服务器的 root 访问权限。
受此勒索软件的服务器很容易被发现,因为他们的大多数文件都是加密的,并带有一个新的“.lilocked”文件扩展名 - 见下图。
在勒索软件加密文件的每个文件夹中都有一份赎金记录(名为#README.lilocked)。
用户被重定向到暗网上的门户网站,在那里他们被指示从勒索信息中输入密钥。在这里,Lilocked 团伙显示第二个赎金需求,向受害者索要 0.03 比特币(约325美元)。
Lilocked 不加密系统文件,只加密文件扩展的一小部分,如 HTML,SHTML,JS,CSS,PHP,INI 和各种图像文件格式。
这意味着受感染的服务器继续正常运行。根据法国安全研究员 Benkow 的说法,Lilocked 已经加密了超过 6,700 台服务器,其中许多服务器已被索引并缓存在 Google 搜索结果中。