概? ? 况

近日，美创室验室检测到一款名叫Lilocked的Linux勒索病毒，该勒索病毒迄今为止已感染了数千台linux网络服务器，加密后缀名为.lilocked。依据现阶段早已把握的直接证据，Lilocked的总体目标好像全是根据 Linux 的系统软件，而且很有可能是根据Exim电子邮件分享手机软件的全新远程控制实行系统漏洞CVE-2019-15846开展散播的。

除此之外，Lilocked还可以根据某类不明的方法获得网络服务器的 root 管理权限。

实际上，这一勒索病毒从2020年7月中下旬就早已发生了，只不过是那时候“主要表现一般”，并沒有造成大家的关心，可是在最近感柒量猛增，有暴发感柒的发展趋势，故提示各税企组织保持警惕。

病毒感染状况

美创室验室第一时间取得有关病毒代码，经检测剖析，发觉Lilocked不加密系统软件文件，只加密文件拓展的一小部分，如HTML，SHTML，JS，CSS，PHP，INI和各种各样图象文件文件格式。这代表着受感柒的网络服务器能够再次一切正常运作。

受此勒索手机软件进攻的网络服务器非常容易被发觉，由于她们的大部分文件全是加密的，并含有一个新的“.lilocked”文件后缀名 ，如下图。

Lilocked与Sodinokibi类似，必须键入key才可以自动跳转到相对的勒索联络页面。在这儿，Lilocked犯罪团伙表明保释金要求，向受害人了解0.03BTC（约325美米）。

病毒感染演试

Linux勒索病毒一般会比Windows勒索病毒多一个流程，便是在逐渐时会运用系统漏洞开展提权，提高到root管理权限以后，Linux恶意程序就可以存取数据随意文件了。包含此次的Lilocked勒索病毒，也应用了对外公布的系统漏洞将本身提高为root管理权限后再开展加密实际操作。

下边就应用开源系统的Linux勒索病毒GonnaCry演试下加密全过程。GonnaCry的作用非常简单，应用AES优化算法加密文件內容，随后改动服务器桌面上。

历经剖析发觉，在一般用户权限下，GonnaCry基本上没法进行加密实际操作，只有加密好多个临时性文件。而当以root管理权限运作时，GonnaCry取得成功加密，主目录下的txt文件都被加密变成GNNCRY后缀名的文件。这就是为何Linux恶意程序都想尽办法开展提权的缘故。

防护措施

为了更好地更强的解决已经知道或不明勒索病毒的威协，美创根据对很多勒索病毒的剖析，根据零信任、守白知黑标准，创造力的科学研究出对于勒索病毒的终端设备【诺亚防勒索系统软件】。诺亚防勒索不在关注系统漏洞传播效果的状况下，。下列为诺亚防勒索对于这款勒索病毒的安全防护实际效果。

美创诺亚防勒索可根据服务器端统一下达对策并升级【如想保护数据库查询文件可根据加上对策一键保护】。

比如在服务器端配备文本文档保护对策，立刻保护全部手机客户端下的txt文件。

? 无诺亚防勒索安全防护的状况下：

在test文件目录下，加上txt的检测文件，若网络服务器中了勒索病毒，该文件被加密，提升了.GNNCRY的拓展后缀名，而且没法一切正常开启。

打开诺亚防勒索的状况下：

实行病毒感染文件，当勒索病毒试着加密被保护文件，即txt文件时，诺亚防勒索明确提出警示并阻拦该个人行为。

查询系统软件上被检测的文件，可被一切正常开启，取得成功安全防护恶意程序对被保护文件的加密个人行为。

而未受保护的doc文件则仍然被勒索病毒加密：

打开碉堡方式的状况下：

为保护系统软件所有文件，可一键打开诺亚防勒索的碉堡方式。碉堡方式关键对于亚终端设备，比如ATM机，ATM机的终端设备基础不怎么会升级，那麼碉堡方式出示一种体制：一切打开碉堡方式以后再进到终端设备的可实行文件都将被阻拦运作，进而完成诺亚防勒索的最強安全防护方式。

运作在碉堡方式下：

实行该病毒感染，马上被清除到危险标志，因而可阻拦一切不明勒索病毒的实行。

在网页页面服务器端上，可查询全部报警及其阻拦日志。

美创室验室再度提示众多客户，勒索病毒防止为主导，现阶段绝大多数勒索病毒加密后的文件都没法破译，留意日常预防措施，以尽量防止损害：

（1）尽可能不必应用root管理权限运作Web应用软件。

（2）立即打上关键的补丁下载，避免应用软件被漏洞检测侵入。

（3）root账户提高登陆密码多米性，防止被工程爆破。

（4）打开SELinux、AppArmor等作用保护关键文件。

（5）布署网络安全审计手机软件开展安全防护。

Mount Locker勒索软件计划对于税务部门总体目标进行进攻

亚信安全：2020年勒索病毒导致的财产损失升高50%

乌克兰网络黑客开发设计新式 Linux 恶意程序 Drovorub

安恒EDR深层讲解：makop勒索病毒

难测不清楚 这么多的USB系统漏洞要从何“补”起?