هزاران سرور وب توسط باج‌افزار جدیدی به نام (Lilocked (Lilu آلوده و فایل‌های آن‌ها رمزگذاری شده است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، آلودگی‌های مربوط به این باج‌افزار از اواسط ماه جولای رخ داده‌ و در دو هفته گذشته شدت یافته‌اند. بر اساس شواهد موجود، به نظر می‌رسد باج‌افزار Lilocked تنها سیستم‌های مبتنی بر لینوکس را هدف قرار می‌دهد.
اولین گزارش‌ها مربوط به اواسط ماه جولای است که برخی از قربانیان اطلاعات Lilocked را در سایت ID Ransomware، وب‌سایتی برای شناسایی نام باج‌افزار مورد نفوذ، بارگذاری کردند. روشی که Lilocked برای نفوذ به سرورها و رمزگذاری آن‌ها استفاده می‌کند، در حال حاضر ناشناخته است. برخی کاربران اعلام کرده‌اند که مهاجمین از طریق اکسپلویت‌های مربوط به نسخه‌های آسیب‌پذیر Exim اقدام به نفوذ کرده و دسترسی روت بدست آورده‌اند.
سرورهای آسیب‌دیده توسط این باج‌افزار به راحتی قابل مشاهده هستند زیرا بیشتر فایل‌های آن‌ها رمزگذاری شده‌اند و پسوند lilocked به فایل‌ها اضافه شده‌اند:
 

باج‌افزار یک کپی از متن باج‌خواهی با عنوان #README.lilocked در پوشه‌هایی که دارای فایل رمزشده هستند قرار می‌دهد:
 

کاربر قربانی در ادامه به پرتالی در وب تاریک منتقل می‌شود که با قرار دادن کلید موجود در فایل باج‌خواهی، از وی مبلغ ۰,۰۳ بیت‌کوین درخواست می‌شود.
باج‌افزار Lilocked تمام فایل‌های سیستم را رمزگذاری نمی‌کند، بلکه تنها برخی از پسوندها مانند HTML ، SHTML، JS ، CSS ، PHP ، INI و فرمت‌های مختلف فایل‌های تصویری را رمزگذاری می‌کند، در نتیجه سرورهای آلوده به طور عادی کار می‌کنند. به گفته یک پژوهشگر امنیتی، Lilocked بیش از ۶۷۰۰ سرور را رمزگذاری کرده است که بسیاری از آنها در نتایج جستجوی گوگل ایندکس شده‌اند. با این حال‌، به نظر می‌رسد تعداد قربانیان بسیار بیشتر باشد. زیرا همه سیستم‌های لینوکسی سرورهای وب را اجرا نمی‌کنند و بسیاری از سیستم‌های آلوده دیگر در نتایج جستجوی گوگل ایندکس نشده‌اند.

lمنبع: http://afta.gov.ir/Portal/home/?news/235046/237266/239939/%D8%A8%D8%A7%D8%AC%E2%80%8C%D8%A7%D9%81%D8%B2%D8%A7%D8%B1-%D9%84%DB%8C%D9%86%D9%88%DA%A9%D8%B3%DB%8C-Lilocked