Interlock (.interlock) ransomware virus - opções de remoção e desencriptação
Escrito por Tomas Meskauskas a
Que tipo de malware é o Interlock?
O Interlock é um ransomware que encripta ficheiros e exige pagamento para a desencriptação. Para além de uma variante Windows, existe também uma versão do Interlock que visa os sistemas operativos Linux.
Quando executámos uma amostra deste ransomware no nosso computador de teste, ele encriptou ficheiros e adicionou uma extensão ".interlock" aos seus nomes. Por exemplo, um ficheiro com o nome original "1.jpg" foi apresentado como "1.jpg.interlock", "2.png" como "2.png.interlock" e assim por diante. O Interlock deixa então cair uma nota de resgate com o título "!__README__!.txt". A extorsão dupla também é utilizada para forçar as vítimas a pagar.
O ransomware Interlock visa grandes empresas e foi utilizado em ataques a organizações governamentais dos EUA e a empresas dos sectores da saúde e da tecnologia. Além disso, o malware foi utilizado para atacar empresas de fabrico na Europa. No entanto, os ataques do Interlock parecem ser oportunistas e não se limitam exclusivamente a estes sectores.
Captura de ecrã de ficheiros encriptados pelo ransomware Interlock:
Visão geral das cartas de resgate
A mensagem do ransomware Interlock informa a vítima de que a rede da sua organização foi violada. Ficheiros importantes foram encriptados e dados sensíveis foram exfiltrados (por exemplo, cópias de segurança, ficheiros críticos para a empresa, contratos, documentos legais e financeiros, dados pessoais, informações de clientes, etc.).
A vítima tem 96 horas para contactar os atacantes. Se a vítima satisfizer as exigências dos cibercriminosos, recebe as ferramentas de desencriptação e as informações roubadas são eliminadas. Se a vítima se recusar a cooperar, os dados comprometidos são publicados ou vendidos, e os meios de comunicação social, as autoridades e os concorrentes tomam conhecimento do ataque.
A vítima é também avisada para não modificar os ficheiros afectados (ou seja, mudar o nome, mover, desencriptar, etc.), uma vez que isso impossibilitará a desencriptação dos mesmos.
Visão geral do ransomware interlock
Na maioria das infecções de ransomware, a desencriptação é impossível sem a intervenção dos atacantes. As raras excepções são os casos em que o ransomware é gravemente defeituoso.
No entanto, o pagamento não é garantia de que os dados serão recuperados, uma vez que os cibercriminosos muitas vezes não enviam a chave de desencriptação/software prometido apesar do resgate. Por isso, aconselhamos vivamente que não cumpra o pedido. Lembre-se que enviar dinheiro para criminosos apoia as suas actividades ilegais.
Para evitar que o Interlock Ransomware execute mais encriptação, deve ser removido da rede. Infelizmente, a remoção não irá restaurar os ficheiros que já foram bloqueados.
A única solução é restaurá-los a partir de uma cópia de segurança (se existir). Lembre-se que é melhor manter as cópias de segurança em vários locais diferentes, por exemplo, em servidores remotos, dispositivos de armazenamento desligados, etc.
Exemplos de ransomware
Kasper, Weaxor, Nyxe e Heda são apenas alguns dos nossos artigos recentes sobre ransomware. Embora este malware funcione de forma muito semelhante (ou seja, encriptar dados para obter um resgate), existem duas diferenças fundamentais.
Estes programas podem utilizar diferentes algoritmos criptográficos (simétricos ou assimétricos) para encriptar os dados. Os resgates podem variar consideravelmente (três a oito dígitos em USD), dependendo da vítima - utilizadores privados ou grandes entidades (por exemplo, empresas, organizações, instituições, etc.).
Como é que o ransomware infectou o meu computador?
Nos ataques conhecidos do Interlock, este ransomware foi infiltrado nos sistemas usando um RAT (Trojan de Acesso Remoto). O Trojan foi distribuído sob o disfarce de uma falsa atualização do navegador Google Chrome anunciada num site de notícias legítimo que tinha sido pirateado.
Enquanto o RAT descarregava uma configuração genuína do Chrome, também executava scripts PowerShell incorporados para descarregar/instalar um ladrão de credenciais e um keylogger (um programa para registar as teclas premidas).
As credenciais roubadas, os serviços RDP (Remote Desktop Protocol) e programas como o AnyDesk e o PuTTY eram utilizados para alternar entre sistemas. Num dos ataques, a infeção e a recolha de dados durou mais de duas semanas antes de o Interlock ser executado e a encriptação começar.
Deve ser mencionado que o Interlock também pode utilizar outras técnicas e cadeias de infeção. Em geral, o malware é espalhado através de phishing e tácticas de engenharia social. O malware é normalmente disfarçado ou agrupado com conteúdos normais.
Os ficheiros infecciosos podem ser ficheiros executáveis (.exe, .run, etc.), arquivos (RAR, ZIP, etc.), documentos (Microsoft Office, Microsoft OneNote, PDF, etc.), JavaScript, etc. A simples abertura de um ficheiro virulento pode ser suficiente para desencadear uma infeção. A simples abertura de um ficheiro virulento pode ser suficiente para desencadear a infeção.
O malware propaga-se principalmente através de cavalos de Troia, descarregamentos automáticos, fraudes online, anexos/links maliciosos em e-mails de spam (por exemplo, e-mails, PMs/DMs, SMS, etc.), malvertising, canais de descarregamento não confiáveis (por exemplo, sites de freeware e de terceiros, redes de partilha de ficheiros P2P, etc.), ferramentas ilegais de ativação de software ("cracks") e actualizações falsas.
Alguns programas maliciosos podem mesmo propagar-se através de redes locais e suportes amovíveis (por exemplo, discos rígidos externos, unidades flash USB, etc.).
Nome | Interlock virus |
Tipo de ameaça | Ransomware, cripto-vírus, bloqueador de ficheiros |
Extensão de ficheiros encriptados | .interlock |
Mensagem de pedido de resgate | !__README__!.txt |
Existe um programa de desencriptação gratuito? | Não |
Contacto do cibercriminoso | Sítio Web na rede Tor |
Nomes de deteção | Combo Cleaner (Trojan.Generic.36878051), DrWeb (Trojan.Encoder.41165), ESET-NOD32 (Uma variante de Win32/Kryptik.HXUY), Kaspersky (Trojan-Ransom.Win32.Crypmod.ayca), Microsoft (Trojan:HTML/Redirector.PAN!MTB), Lista completa de detecções (VirusTotal) |
Sintomas | Os ficheiros guardados no computador já não podem ser abertos; os ficheiros que funcionavam anteriormente têm agora uma extensão diferente (por exemplo, my.docx.locked). É apresentada uma mensagem com uma nota de resgate no ambiente de trabalho. Os criminosos virtuais exigem o pagamento de um resgate (geralmente em Bitcoins) para desbloquear os seus ficheiros. |
Métodos de distribuição | Anexos de correio eletrónico infectados (macros), sites de torrents, anúncios maliciosos. |
Danos | Todos os ficheiros são encriptados e não podem ser abertos sem o pagamento de um resgate. Juntamente com uma infeção de ransomware, podem ser instalados Trojans adicionais e infecções de malware que roubam palavras-passe. |
Remoção do Malware (Windows) | Para eliminar possíveis infecções por malware, verifique o seu computador com software antivírus legítimo. Os nossos investigadores de segurança recomendam a utilização do Combo Cleaner. |
Como se pode proteger de infecções de ransomware?
Recomendamos vivamente que descarregue apenas de fontes oficiais e verificadas. Além disso, todos os programas com funções/ferramentas legítimas devem ser activados e actualizados, uma vez que os programas adquiridos a terceiros podem conter malware.
Outra recomendação é estar atento ao navegar na Internet, uma vez que esta está repleta de conteúdos fraudulentos e maliciosos. Aconselhamos a tratar com precaução as mensagens de correio eletrónico e outras mensagens recebidas. Os anexos ou as ligações em mensagens de correio eletrónico suspeitas/irrelevantes não devem ser abertos, pois podem ser infecciosos.
É importante instalar um programa antivírus de boa reputação e mantê-lo atualizado. O software de segurança deve ser utilizado para efetuar verificações regulares do sistema e remover ameaças e problemas detectados. Se o seu computador já está infetado com Interlock, recomendamos executar uma verificação com Combo Cleaner para remover automaticamente este ransomware.
Aparência do ficheiro de texto do ransomware Interlock "!__README__!.txt" (GIF):
Texto desta mensagem:
INTERLOCK - CRITICAL SECURITY ALERT
To Whom It May Concern,
Your organization has experienced a serious security breach. Immediate action is required to mitigate further risks. Here are the details:
THE CURRENT SITUATION
- Your systems have been infiltrated by unauthorized entities.
- Key files have been encrypted and are now inaccessible to you.
- Sensitive data has been extracted and is in our possession.
WHAT YOU NEED TO DO NOW
1. Contact us via our secure, anonymous platform listed below.
2. Follow all instructions to recover your encrypted data.
Access Point: -
Use your unique Company ID: -DO NOT ATTEMPT:
- File alterations: Renaming, moving, or tampering with files will lead to irreversible damage.
- Third-party software: Using any recovery tools will corrupt the encryption keys, making recovery impossible.
- Reboots or shutdowns: System restarts may cause key damage. Proceed at your own risk.
HOW DID THIS HAPPEN?
We identified vulnerabilities within your network and gained access to critical parts of your infrastructure. The following data categories have been extracted and are now at risk:
- Personal records and client information
- Financial statements, contracts, and legal documents
- Internal communications
- Backups and business-critical files
We hold full copies of these files, and their future is in your hands.
YOUR OPTIONS
#1. Ignore This Warning:
- In 96 hours, we will release or sell your sensitive data.
- Media outlets, regulators, and competitors will be notified.
- Your decryption keys will be destroyed, making recovery impossible.
- The financial and reputational damage could be catastrophic.#2. Cooperate With Us:
- You will receive the only working decryption tool for your files.
- We will guarantee the secure deletion of all exfiltrated data.
- All traces of this incident will be erased from public and private records.
- A full security audit will be provided to prevent future breaches.
FINAL REMINDER
Failure to act promptly will result in:
- Permanent loss of all encrypted data.
- Leakage of confidential information to the public, competitors, and authorities.
- Irreversible financial harm to your organization.
CONTACT US SECURELY
1. Install the TOR browser via hxxps://torproject.org
2. Visit our anonymous contact form at -
3. Use your unique Company ID: -
4. Review a sample of your compromised data for verification.
5. Use a VPN if TOR is restricted in your area.
Captura de ecrã do site de chat do Interlock na rede Tor:
Remoção do ransomware Interlock:
{carregar posição mainButtonTop}
{carregar posição posição31}
Perguntas frequentes (FAQ)
Como é que o meu computador foi pirateado e como é que os hackers encriptaram os meus ficheiros?
Foi observado que o ransomware Interlock é espalhado através de uma falsa atualização do navegador que contém um RAT (Trojan de Acesso Remoto). São possíveis outros métodos de distribuição. Em geral, o malware é espalhado por cavalos de Troia, descarregamentos automáticos, fraudes online, fontes de descarregamento duvidosas (por exemplo, sites de alojamento de ficheiros gratuitos e freeware, redes de partilha P2P, etc.), actualizadores falsos, ferramentas ilegais de ativação de programas ("cracks"), e-mails de spam e malvertising.
Como abrir ficheiros ".interlock"?
A utilização continuada de ficheiros requer a desencriptação. Por outras palavras, os ficheiros encriptados não podem ser abertos/utilizados até serem desencriptados.
Onde devo procurar ferramentas de desencriptação gratuitas para o Interlock Ransomware?
No caso de um ataque de ransomware, recomendamos que visite o site do projeto No More Ransom (ver acima para mais informações).
Posso pagar-vos muito dinheiro, podem desencriptar ficheiros para mim?
Não oferecemos serviços de desencriptação. De facto, a recuperação de ficheiros encriptados com ransomware é normalmente impossível sem a intervenção dos atacantes. Por isso, os fornecedores terceiros que oferecem desencriptação paga são frequentemente burlões ou tentam agir como intermediários entre as vítimas e os criminosos.
O Combo Cleaner vai ajudar-me a remover o ransomware Interlock?
O Combo Cleaner irá analisar o seu dispositivo e remover infecções de ransomware activas. Deve ser enfatizado que a execução de uma verificação completa do sistema é crucial, uma vez que os programas maliciosos sofisticados geralmente se escondem nas profundezas do sistema.
▼ Mostrar comentários