Interlock 勒索軟體進化:利用「FileFix」假修復工具進行惡意檔案加密攻擊
近期資安研究發現,一個名為 Interlock 的勒索軟體家族,採用了全新且具欺騙性的傳播手法──冒充檔案修復工具(FileFix),引誘受害者自行啟動惡意程式,以繞過傳統的防毒或郵件過濾機制。這種「社交工程+技術繞過」的手法大幅提升了攻擊成功率,並對資安防禦提出更高挑戰。
攻擊流程總覽
Interlock 勒索軟體透過下列步驟進行攻擊:
社交工程釣魚或惡意網頁誘導受害者下載名為 FileFixer.zip 的壓縮檔案,聲稱該工具可協助解鎖或修復受損的文件。
壓縮包內含一個 Windows 執行檔(.exe),一旦執行,實際上會觸發 Interlock 勒索軟體核心程式碼。
執行後,勒索程式會立即加密目標系統中的重要檔案,並於每個資料夾留下勒索訊息(README.txt)。
該勒索信要求受害者前往一個 .onion 的 Tor 網址支付贖金,且內文透過語氣冷靜、富有指引性,刻意製造「客服工具」的假象。
技術細節與特徵
Interlock 使用的執行檔(FileFixer.exe)經過包裝與混淆,常見特徵如下:
使用 UPX 打包技術壓縮檔案體積,降低特徵碼偵測率。
加密後檔案副檔名通常為 .locked 或隨機字串。
勒索訊息內含唯一識別碼與付款連結,並強調「不付款將無法解密」。
程式會掃描特定目錄(如 Documents、Desktop、Downloads)進行鎖定。
無遠端控制能力,完全依靠社交工程觸發。
影響與攻擊目標
根據資安公司 Raccoon Security 的追蹤,該攻擊自 2025 年 Q2 開始流行,初期針對企業用戶、學校與中小型機構進行滲透。攻擊者通常會利用舊有的攻擊路徑(如 Discord、MEGA、Google Drive 等)來傳播下載連結。
受害地區集中在北美與歐洲,已有數個中小型企業回報因「誤信 FileFix」而導致整個工作站加密。
防範建議
針對此種進階社交誘導手法,資安專家提出以下建議:
- 教育訓練員工與用戶,不可下載或執行來路不明的檔案,尤其是標榜「修復工具」或「解鎖工具」的內容。
- 部署行為式防毒軟體(EDR),可識別記憶體異常活動或批次加密行為。
- 實施檔案白名單政策(Application Whitelisting),限制執行未授權程式。
- 定期備份關鍵資料並驗證備份可用性,降低勒索損失風險。
- 封鎖檔案類型.zip、.exe 來自網路硬碟或外部來源的自動執行權限。
結語
Interlock 勒索軟體採用 FileFix 工具偽裝策略,揭示了駭客如何精準操弄人性弱點與信任機制。企業與個人皆需提升「資安識讀力」,並強化基礎防護設定,才能抵擋這類「自發性入侵」的創新型勒索手法。
資料來源:https://www.bleepingcomputer.com/news/security/interlock-ransomware-adopts-filefix-method-to-deliver-malware/