Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Как расшифровать файлы, зашифрованные вымогателем Fonix

Как расшифровать файлы, зашифрованные вымогателем Fonix

Для вымогателя Fonix опубликовали мастер-ключ, а мы сделали утилиту для расшифровки файлов.

Авторы шифровальщика Fonix внезапно объявили о прекращении своей деятельности и опубликовали мастер-ключ, которым можно декодировать пострадавшие файлы. Наши эксперты незамедлительно обновили утилиту Rakhni Decryptor для автоматизации этого процесса. Она доступна, например, вот здесь.

Пример Fonix лишний раз подтверждает, что даже если вы не планируете платить вымогателям, имеет смысл сохранить зашифрованные данные до лучших времен. Да, далеко не все злоумышленники раскаиваются и публикуют ключи, но и такое случается — и в этом случае зашифрованные файлы можно будет вернуть.  К тому же не стоит забывать, что иногда правоохранительным органам удается добыть ключи непосредственно с серверов киберпреступников.

Чем был опасен Fonix

Fonix также известен под именем Xinof — по крайней мере сами злоумышленники называли себя и так, и эдак, да и зашифрованные файлы получали расширения и .fonix и .xinof. Аналитики описывали этот шифровальщик-вымогатель как достаточно агрессивный. Как минимум потому, что он занимался не только непосредственно шифрованием, но и вносил в конфигурацию операционной системы ряд изменений, чтобы его было сложнее удалить. Кроме того, он шифровал практически все файлы на компьютере, исключая критически важные для работы операционной системы.

Создатели Fonix предоставляли доступ к нему по схеме Ransomware-as-a-Service (RaaS), так что непосредственно атаками занимались уже покупатели. Начиная примерно с лета 2020 года, Fonix активно рекламировался на хакерских форумах. В качестве «конкурентного преимущества» этого шифровальщика авторы делали ставку на его изначальную бесплатность — они не требовали ничего за использование и брали только процент с заплаченных выкупов.

В результате вредонос распространялся различными группами, как правило, через спам-рассылки. Поэтому среди жертв Fonix были и частные лица, и организации. К счастью, массовой популярности этот шифровальщик не набрал и жертв было относительно немного.

Киберпреступление внутри киберпреступления

В том же заявлении авторов Fonix о прекращении работы сказано, что не все участники группы согласны с решением завязать с преступной деятельностью. В частности, администратор их Telegram-канала пытается продать исходный код шифровальщика и какие-то данные. Впрочем, код ненастоящий, так что это, по сути, мошенничество под видом продажи вредоносного ПО (по крайней мере так утверждается в твиттере группы). Понятно, что жертвами тут могли стать только другие киберпреступники, однако мошенничество от этого мошенничеством быть не перестает.

Мотивация авторов

Администратор FonixCrypter Project признался, что не планировал заниматься преступной деятельностью, а на создание шифровальщика его толкнула «сложная экономическая ситуация«. Но его замучила совесть, в результате чего он удалил исходный код, принес извинения жертвам и опубликовал мастер-ключ. В дальнейшем он планирует использовать накопленный опыт в сфере анализа зловредов и надеется, что остальные «коллеги» присоединятся к нему в этом начинании.

Как защититься от шифровальщиков

Защита от Fonix больше не особо актуальна, но остальные шифровальщики в 2021 году как никогда активны. При этом советы по защите год от года особо не меняются:

  • С осторожностью относитесь к письмам с вложениями.
  • Не запускайте файлы, полученные из непроверенных источников.
  • Используйте защитные решения на всех домашних и рабочих устройствах, имеющих доступ в Интернет.
  • Делайте резервные копии важных файлов и храните их на устройстве, не подключенном к Сети устройстве.

Наши защитные решения как для дома, так и для бизнеса детектируют Fonix проактивно. Кроме того, наши файловые сканеры способны выявить Fonix еще до запуска.

На всякий случай повторим: если вы стали жертвой шифровальщика Fonix, то вернуть данные сможете с помощью нашей утилиты RakhniDecryptor 1.27.0.0 или новее, которую можно скачать на сайте Noransom.kaspersky.com.


Источник: Лаборатория Касперского

04.02.2021