Darmowe narzędzie deszyfrujące dla ransomware o nazwie Fonix

Gdy autorzy ransomware Fonix porzucili swoją drogę i opublikowali klucz główny, przygotowaliśmy dla niego narzędzie deszyfrujące.

Gdy ugrupowanie tworzące ransomware Fonix nagle poinformowało o zakończeniu swoich działań i opublikowało klucz główny umożliwiający odkodowanie zaszyfrowanych plików, nasi eksperci niezwłocznie zaktualizowali narzędzie Rakhni Decryptor, aby zautomatyzować ten proces. Narzędzie to możesz pobrać stąd.

Przykład związany z Fonix ilustruje, dlaczego nawet gdy nie masz w planach zapłacić okupu (rozsądny wybór), warto się wstrzymać. Nie wszyscy cyberprzestępcy wyrażają swoją skruchę i publikują klucze (lub zostają złapani, a ich serwery skonfiskowane), ale jeśli klucze staną się wreszcie dostępne, można ich użyć w celu przywrócenia dostępu do swoich danych — ale tylko wtedy, gdy je będziesz jeszcze mieć.

Dlaczego Fonix był niebezpieczny

Ransomware Fonix znane było również pod nazwą Xinof. Cyberprzestępcy korzystali z obu określeń, a zaszyfrowane pliki otrzymywały zmienioną nazwę i rozszerzenie .xinof lub .fonix. Analitycy opisali to ransomware jako stosunkowo agresywne: oprócz szyfrowania plików w systemach majstrowało ono przy systemie operacyjnym, aby utrudniać możliwość usunięcia go. Ponadto program szyfrował praktycznie wszystkie pliki na zaatakowanym komputerze, pozostawiając tylko te, które były potrzebne do działania systemu operacyjnego.

Autorzy tego szkodliwego programu wypożyczali Fonix w modelu ransomware-as-a-service (RaaS), pozostawiając przeprowadzenie ataków na barkach klientów. Mniej więcej latem 2020 roku na forach hakerskich zaczęto intensywnie reklamować to szkodliwe oprogramowanie. Początkowo operatorzy mieli do niego darmowy dostęp, dzięki czemu Fonix zdobył przewagę konkurencyjną; za każdy zapłacony okup autorzy zabierali jakiś odsetek.

W efekcie wiele różnych niepołączonych ze sobą kampanii pomogło w rozprzestrzenieniu tego szkodliwego programu, zwykle odbywało się to poprzez wiadomości spamowe. Dlatego Fonix uderzał nie tylko w osoby prywatne, ale także w firmy. Na szczęście ransomware nie zdobyło powszechnej popularności, więc i ofiar nie było zbyt wiele.

Cyberprzestępczość w ramach cyberprzestępczości

W swoim oświadczeniu ugrupowanie Fonix poinformowało, że nie wszyscy jego członkowie zgodzili się z decyzją o zakończeniu jego działania. Na przykład administrator kanału tego ugrupowania w aplikacji Telegram próbuje sprzedać kod źródłowy opisywanego ransomware oraz inne dane. Jednak kod ten nie jest prawdziwy (a przynajmniej tak twierdzi na Twitterze ugrupowanie Fonix), zatem zasadniczo jest to oszustwo wymierzone w osoby kupujące szkodliwe programy. Chociaż jedynymi potencjalnymi ofiarami mogą tu być cyberprzestępcy, oszustwo to oszustwo.

Motywacja

Administrator projektu FonixCrypter twierdzi, że nigdy nie miał zamiaru angażować się w aktywność przestępczą, jednak do utworzenia ransomware zmusiło go spowolnienie gospodarcze. Później usunął kod źródłowy i, powołując się na wyrzuty sumienia, przeprosił ofiary, a także opublikował klucz główny. Następnie poinformował, że planuje użyć swojej wiedzy na temat analizy szkodliwych programów w lepszym celu i ma nadzieję, że jego koledzy dołączą do niego w tej zmianie podejścia.

Jak zapewnić sobie ochronę przed ransomware

Fonix nie stanowi już problemu, jednak aktywne są inne programy ransomware — a w tym roku nawet bardziej niż kiedykolwiek wcześniej. Nasze porady w zakresie zachowania bezpieczeństwa nie odbiegają od tych standardowych:

  • Z ostrożnością traktuj wiadomości zawierające załączniki.
  • Nie uruchamiaj plików uzyskanych z niezweryfikowanych źródeł.
  • Na wszystkich urządzeniach w domu i biurze, które łączą się z internetem, zainstaluj rozwiązanie zabezpieczające.
  • Twórz kopie zapasowe wszystkich najważniejszych danych i przechowuj je na urządzeniach, które nie mają dostępu do sieci.

Nasze produkty dla użytkowników prywatnych i firm proaktywnie wykrywają Fonix i inne programy ransomware. Co więcej, nasze skanery plików rozpoznają Fonix, zanim zdoła się on uruchomić.

Powtórzmy: jeśli padniesz ofiarą ransomware Fonix, możesz przywrócić swoje dane za pomocą naszego narzędzia RakhniDecryptor 1.27.0.0, które możesz pobrać ze strony noransom.kaspersky.com.

Porady