• O ransomware Lilocked tem como alvo os servidores Linux e criptografa os dados armazenados neles desde meados de julho. Nas últimas duas semanas, os ataques foram observados com mais frequência.

• Os usuários afetados são redirecionados para a dark web e solicitados a efetuar um pagamento para descriptografar seus arquivos.

Visão global

O ransomware Lilocked (ou Lilu) foi relatado pela primeira vez pelo pesquisador de malware Micheal Gillespie. Ele observou o primeiro caso de Lilocked quando um usuário enviou uma nota de ransomware para o site da ID Ransomware. Este site pode ser usado para identificar o ransomware com base nos detalhes da nota.

#Ransomware Hunt: extension ".lilocked", note "#README.lilocked" - https://t.co/cvaSXon1nN pic.twitter.com/mc2m8rsDFR

— Michael Gillespie (@demonslay335) 20 de julho de 2019

Uma vez infectados, os dados da vítima são criptografados com a extensão de arquivo .lilocked. Uma nota chamada # README.lilocked é exibida junto com os arquivos criptografados. Ele redireciona os usuários para um site na dark web e fornece uma chave para fazer login no site. Os usuários são solicitados a efetuar um pagamento em bitcoins para descriptografar seus arquivos.

Milhares de servidores foram infectados com este ransomware desde julho.

Impacto de um ataque bloqueado

Observou-se que o Lilocked não afeta os arquivos do sistema, mas os arquivos com extensões como HTML, CSS, PHP, JS, INI e outros formatos de imagem e que apos serem atingidos por este Ransomware, a maioria dos arquivos é criptografada, tendo sua extensão alterada para ".lilocked" – veja a imagem abaixo.

• Ele tem como alvo servidores Linux e obtém acesso root. Como os arquivos do sistema permanecem inalterados, os servidores são executados normalmente.
• Esse ataque cibernético faz com que os arquivos criptografados sejam listados nos resultados de pesquisa do Google.
• Há especulações de que Lilocked está direcionando servidores que são executados em uma versão desatualizada do servidor Exim. Esta tese também é apoiada por um fórum russo .

Os pesquisadores ainda não descobriram o mecanismo por trás da operação desse ransomware. Eles estão à procura de uma amostra para descobrir maneiras de descriptografar os arquivos afetados.

Considerações finais

Como o mecanismo operacional do Lilocked não é claro, não há recomendações de segurança específicas. No entanto, você pode adotar medidas preventivas, como:

• Usando senhas fortes e exclusivas
• Estar ciente das falhas de segurança nos aplicativos que você usa
• Atualizando todos os aplicativos para suas versões mais recentes com os patches de segurança necessários
• Evite abrir anexos de email de remetentes desconhecidos