طبق گزارشها، هزاران سرور وب آلوده شده و پروندههای آنها توسط نوع جدیدی از باج افزار به نام (Lilocked) یا (Lilu) رمزگذاری شدهاند.
به گفته وبسایت ZDNet، این حملات از اواسط ماه ژوئیه شروع شده و طی دو هفته گذشته شدت یافتهاند. بر اساس شواهد موجود، به نظر میرسد باج افزار Lilocked فقط سیستمهای مبتنی بر لینوکس را هدف قرار میدهد.
روشی که Lilocked به کمک آن به سرورها رخنه کرده و محتوای آنها را رمزگذاری میکند، در حال حاضر ناشناخته است. طبق یک تئوری گفته میشود که کلاهبرداران ممکن است سیستمهایی را هدف قرار دهند که از نرمافزار منسوخ شده Exim (ایمیل) استفاده میکنند. همچنین در این تئوری اشاره شده که این باج افزار موفق شده به روش های ناشناخته به سرورها دسترسی پیدا کند.
سرورهایی که توسط این باج افزار آسیب دیدهاند به راحتی قابل مشاهده هستند، زیرا اکثر پروندههای آنها رمزگذاری شدهاند و یک پسوند پرونده جدید با نام ‘ .lilocked’ به آنها اضافه میشود.
یک نسخه از یادداشت باج افزار با نام (README.lilocked) در هر پوشهای که فایلهای آن توسط باج افزار رمزگذاری شده، در دسترس است.
کاربران به پورتالی در وب تاریک هدایت میشوند، جایی که به آنها دستور داده میشود یک کلید از یادداشت باج افزار را وارد کنند. در اینجا، باند Lilocked تقاضای باج دوم را نمایش داده و قربانیان را وادار میکنند که 0.03 بیت کوین (تقریبا 325 دلار) به آنها پرداخت کنند.
Lilocked فایلهای سیستم را رمزگذاری نمیکند، بلکه فقط زیرمجموعه کوچکی از پسوندهای پرونده، مانند HTML ،SHTML ،JS ،PHP ،INI و انواع مختلف فایل تصویری را رمزگذاری میکند. این بدان معنی است که سرورهای آلوده به طور عادی کار میکنند. به گفته یک محقق امنیتی، Lilocked بیش از 6،700 سرور را رمزگذاری کرده است که بسیاری از آنها در نتایج جستجوی گوگل ایندکس و ذخیره شدهاند.
با این حال، به نظر می رسد تعداد قربانیان بسیار بیشتر است. همه سیستمهای لینوکس سرورهای وب را اجرا نمیکنند، و سیستمهای آلوده دیگری وجود دارند که در نتایج جستجوی گوگل ایندکس نشدهاند.