Il ransomware Lilocked (o Lilu) è stato segnalato per la prima volta dal ricercatore di malware Micheal Gillespie. Ha osservato il primo caso di Lilocked quando un utente ha segnalato un report.
Una volta infettati, i dati della vittima vengono crittografati con l’estensione .lilocked. Viene visualizzata una nota denominata # README.lilocked insieme ai file crittografati. Reindirizza gli utenti a un sito su Darknet e fornisce una chiave per accedere al sito. Agli utenti viene quindi chiesto di effettuare un pagamento in bitcoin per decrittografare i propri file.
È stato osservato che Lilocked non influisce sui file di sistema, ma su file con estensioni come HTML, CSS, PHP, JS, INI e altri formati di immagine.
- Si rivolge ai server Linux e ottiene l’accesso come root. Poiché i file di sistema rimangono inalterati, i server funzionano normalmente.
- Questo attacco informatico fa sì che i file crittografati vengano elencati nei risultati di ricerca di Google.
- Si ipotizza che Lilocked stia prendendo di mira i server in esecuzione su una versione obsoleta del server Exim. Questa tesi è supportata anche da un forum russo .
