Ransom.FreeBSD.INTERLOCK.THJBBBD
2024年11月25日
:
Ransom:Linux/Interlock.A (MICROSOFT)
平台:
FreeBSD
总体风险等级:
潜在破坏:
潜在分布:
感染次数:
信息暴露:
恶意软件类型:
Ransomware
有破坏性?:
没有
加密?:
没有
In the Wild:
是的
概要
感染途徑: 由其他恶意软件释放, 从互联网下载
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
它会释放勒索说明文件作为赎金票据,并避免加密具有以下扩展名的文件:
技术详细信息
文件大小: 808,240 bytes
报告日期: ELF
内存驻留: 没有
初始樣本接收日期: 2024年10月10日
Payload: 加密文件
Arrival Details
该勒索软件通过两种途径侵入系统:一是被其他恶意软件作为文件植入,二是用户访问恶意网站时在不知情的情况下下载的文件。
其他信息
该勒索软件接受以下参数:
- -d | --directory → 加密指定目录及其所有子目录
- -f | --file → encrypts a specified file
- -del | --delete → 加密文件后通过unlink()系统调用删除自身
- -s | --system
Ransomware Routine
该勒索软件会避免加密文件名中包含以下字符串的文件:
- {Any String}boot.cfg
- {Any String}!__README__!.txt
它会避免加密以下文件夹中的文件:
- bin
- boot
- cdrom
- dev
- etc
- home
- lib
- lib32
- lib64
- libx32
- lost+found
- media
- mnt
- opt
- proc
- root
- run
- sbin
- snap
- srv
- sys
- tmp
- usr
- var
它会为加密文件的文件名添加以下扩展名:
- .interlock
它会释放以下文件作为勒索信:
- {Encrypted Path}/!__README__!.txt
它会避免加密具有以下文件扩展名的文件:
- .b00
- .sf
- .t00
- .v00
- .v01
- .v02
- .v03
- .v04
- .v05
- .v06
- .v07
- .interlock
解决方案
最小扫描引擎: 9.800
First VSAPI Pattern File: 19.700.06
VSAPI 第一样式发布日期: 2024年11月7日
VSAPI OPR样式版本: 19.701.00
VSAPI OPR样式发布日期: 2024年11月8日
Step 1
使用您的亚信安全产品扫描电脑,删除被检测为以下名称的文件 Ransom.FreeBSD.INTERLOCK.THJBBBD. 若亚信安全产品已将检测到的文件清除、删除或隔离,则无需再执行任何额外步骤;您也可选择直接删除隔离区中的文件。更多信息请访问以下亚信安全支持页面:
Step 2
从备份中还原加密文件。