Grup ransomware Interlock kini menyamarkan malware-nya sebagai alat pemulihan (FileFix) yang menjanjikan perbaikan file terenkripsi — padahal justru memasang muatan jahat baru.
Ringkasan
Peneliti keamanan menemukan taktik baru dari pelaku di balik ransomware Interlock, di mana mereka menawarkan “solusi palsu” bernama FileFix untuk memperbaiki file korban. Alat ini, yang diklaim sebagai decryptor gratis, sebenarnya adalah bagian dari campaign distribusi malware lanjutan. Strategi ini memperdaya korban agar menjalankan executable berbahaya, memperburuk kerusakan yang sudah ada.
Bagaimana Taktik Ini Bekerja?
- Korban terinfeksi ransomware Interlock dan file-nya dienkripsi
- Dalam catatan tebusan atau situs pembayaran, pelaku menyisipkan tautan ke “FileFix”
- FileFix mengklaim sebagai alat gratis untuk “menguji” pemulihan file
- Saat dijalankan, FileFix justru menginstal malware tambahan, seperti:
- Stealer (mencuri data browser, crypto wallet, dan login)
- Remote Access Trojan (RAT)
- Keylogger
Tujuan Serangan Ganda
- Menjerat korban dua kali: pertama melalui enkripsi, kedua dengan eksfiltrasi data
- Meningkatkan tekanan psikologis agar korban segera membayar
- Menyebarkan akses persistence ke sistem korban untuk serangan jangka panjang
Siapa yang Terkena?
- Korporasi kecil dan menengah (SMB)
- Institusi dengan keamanan endpoint lemah
- Pengguna yang panik dan mencoba mencari solusi cepat tanpa bantuan pakar
Rekomendasi untuk Korban
- Jangan pernah mengunduh decryptor dari sumber yang tidak diverifikasi
- Jika sudah terinfeksi ransomware, segera:
- Diskonfigurasi sistem dari jaringan
- Konsultasikan ke tim forensik keamanan
- Simpan file terenkripsi untuk kemungkinan analisis oleh pihak ketiga
- Gunakan tool pemulihan resmi (NoMoreRansom.org) bila tersedia
Ancaman Semakin Canggih
Penggunaan “fake fix” seperti ini menunjukkan evolusi ransomware dari sekadar enkripsi ke model multi-tahap dan manipulatif. Pengguna yang lengah atau terburu-buru menjadi target empuk serangan berantai.