Отчет FortiGuard Labs представляет информацию о новом варианте вымогательской программы Interlock. Этот вредоносный код был впервые замечен в начале октября 2024 года и может быть активен с сентября или даже раньше. Interlock ransomware доступен для платформ Microsoft Windows и FreeBSD. Он шифрует файлы на компьютерах жертв и требует выкуп за их расшифровку.
Interlock Ransomware
Пока неизвестно, каким образом Interlock ransomware заражает устройства. Однако исследователь Сина Хейрхах отметил наличие ранее неизвестного бэкдора на машине жертвы, что может свидетельствовать о том, что вымогательская программа была развернута через него. Версия для Windows поддерживает несколько версий ОС, включая Windows Vista, 7, 8, 8.1 и 10. Что касается FreeBSD-версии, она использует алгоритм шифрования AES-CBC и пропускает файлы с расширением ".interlock".
На момент расследования Interlock ransomware было обнаружено шесть жертв, большинство из которых находились в США. Однако данные об этих атаках могут быть лишь верхушкой айсберга, поскольку источники данных указывают на происхождение образцов программы из разных стран, таких как Индия, Италия, Япония, Германия, Перу, Южная Корея, Турция и США. Жертвами стали представители разных отраслей, включая образование, финансы, правительство, здравоохранение и производство.
Файлы, зашифрованные Interlock ransomware, получают расширение ".interlock". Этот вредоносный код также исключает определенные файлы и папки из процесса шифрования. Например, исключаются файлы с определенными расширениями и системные папки, такие как /boot, /proc, /etc и другие. Была также обнаружена задача по расписанию, которая запускается каждый день в 20:00 с использованием учетной записи System.
Interlock ransomware оставляет записку с выкупом, в которой указывается сумма, требуемая за расшифровку файлов. В "жертвском" архиве находится страница, на которой описывается организация жертвы и перечисляются украденные и утёкшие файлы.
Indicators of Compromise
SHA256
- 28c3c50d115d2b8ffc7ba0a8de9572fbe307907aaae3a486aabd8c0266e9426f
- 6933141fbdcdcaa9e92d6586dd549ac1cb21583ba9a27aa23cf133ecfdf36ddf
- 7d750012afc9f680615fe3a23505f13ab738beef50cd92ebc864755af0775193
- a26f0a2da63a838161a7d335aaa5e4b314a232acc15dcabdb6f6dbec63cda642
- e86bb8361c436be94b0901e5b39db9b6666134f23cce1e5581421c2981405cb1
- e9ff4d40aeec2ff9d2886c7e7aea7634d8997a14ca3740645fd3101808cc187b
- f00a7652ad70ddb6871eeef5ece097e2cf68f3d9a6b7acfbffd33f82558ab50e
