New York, Cyberthreat.id - Ransomware hanya menyerang sistem berbasis Windows dan institusi besar benar-benar hanya mitos. Ransomware sebenarnya menyasar semua sistem operasi baik Linux atau MacOS, baik sistem yang dimiliki individu maupun korporasi atau institusi. Sebulan terakhir diketahui ransomware Lilocked menyerang ribuan web server berbasis Linux.

Bleepingcomputer mendapatkan laporan tentang Lilocked atau Lilu ini pada 26 Juli 2019 melalui file terenkripsi yang dikirimkan ke ID Ransomware. Pada 5 September lalu, malware ini diketahui aktif berdasarkan cuitan seorang periset keamanan siber bernama @benkow_ di Twitter. Ia menunjukkan pencarian di Google dengan keyword intitle:"index of" "#README.lilocked" akan menampilkan enam ribuan hasil yang menunjukkan situs web yang memiliki catatan ransomware, dan file-file yang terkenkripsi dikunci ekstensi .lilocked. 

Ribuan situs web terenkripsi Lilocked.

Belum diketahui cara Lilocked menginfeksi situs web. Dan belum ada sampel file ransomware ini. Bleepingcomputer hanya mendapati bahwa semua file yang terenkripsi terkait dengan situs web. Juga tidak diketahui apakah serangan ini hanya menyasar target tertentu seperti Wordpress, Magento, atau platform situs web tertentu.

Operator Lilocked, melalui catatan di #README.lilocked, meminta korban untuk masuk ke situs Tor untuk melakukan pembayaran. #README.lilocked memberikan kunci untuk login di situs tersebut. Setelah login, akan terbuka lama instruksi agar korban membayar tebusan 0.010 bitcoin (BTC) atau sekitar US$100 untuk mendapatkan kunci enkripsi sehingga file-filenya bisa dipulihkan.

Lilocked tampaknya tidak mengenkripsi file-file sistem namun hanya file yang terkait dengan situs web seperti HTML, SHTML, JS, CSS, PHP, INI, dan file gambar berbagai macam format (JPG, PNG, GIF). Karena itu, situs yang terinfeksi bisa tetap online namun akan ada bagian yang tidak berfungsi normal.