Исследователи обнаружили новый шифровальщик Lilu (Lilocked), который с июля атакует веб-серверы под управлением Linux. Преступники блокируют служебные файлы на взломанных хостах, оставляя саму систему в рабочем состоянии. Особенности атак Lilu Эксперты не могут определить, как зловред попадает на сервер. Среди возможных точек входа назывались уязвимости CMS WordPress и почтового клиента Exim. Специалисты смогут сделать точный вывод, только получив в свои руки образец Lilu, чего на момент публикации не произошло. Для шифрования вымогатель применяет алгоритм AES, заблокированные файлы получают расширение *.lilocked. В каждой обработанной папке зловред оставляет записку, где жертву направляют на сайт в сети Tor для оплаты выкупа. По разным данным, злоумышленники требуют 0,01–0,03 BTC (6,8–20 тыс. рублей по курсу на день публикации). Главная особенность Lilu — выбор объектов для шифрования: зловред интересуется файлами с расширениями HTML, SHTML, JS, CSS, PHP, INI, а также файлами изображений. Этот набор целей позволил аналитикам предположить, что вымогатель создан специально для атак на веб-серверы. Ущерб от активности Lilu Эксперты оценивают число жертв Lilu в 6–7 тыс. серверов. Такие выводы они делают по результатам поиска в Google, содержащим ссылки на документы с требованием выкупа, — поскольку зловред не трогает системные файлы, зараженные хосты остаются доступны. В то же время специалисты допускают, что реальные масштабы заражения гораздо больше, поскольку применение Linux не ограничивается веб-серверами, а из последних далеко не все индексируются Google. В отсутствие достоверных данных о векторах атак Lilu администраторам Linux рекомендуют установить на своих системах сильные пароли и обновить используемое ПО. В августе от атаки неизвестного шифровальщика пострадали более 20 государственных организаций в Техасе. Злоумышленники потребовали выкуп в $2,5 млн, однако власти предпочли устранить последствия атаки самостоятельно. 09.09.2019 https://threatpost.ru/new-lilu-ransomware-spotted-targeting-linux-servers/34017/