Автори здирника відмовилися від шкідливої діяльності та опублікували майстер-ключ. А ми зробили з нього дешифратор.
Автори шифрувальника Fonix раптово оголосили про припинення своєї діяльності та опублікували майстер-ключ, яким можна декодувати постраждалі файли. Наші експерти негайно оновили утиліту Rakhni Decryptor для автоматизації цього процесу. Вона доступна, наприклад, ось тут.
Приклад Fonix вкотре підтверджує, що навіть якщо ви не плануєте платити здирникам, має сенс зберегти зашифровані дані до кращих часів. Так, далеко не всі зловмисники каються і публікують ключі, але й таке трапляється - і в цьому випадку зашифровані файли можна буде повернути. До того ж не варто забувати, що іноді правоохоронним органам вдається видобути ключі безпосередньо з серверів кіберзлочинців.
Чим був небезпечний Fonix
Fonix також відомий під ім'ям Xinof - принаймні самі зловмисники називали себе і так, і так, та й зашифровані файли отримували розширення і .fonix і .xinof. Аналітики описували цей шифрувальник-вимагач як досить агресивний. Як мінімум тому, що він займався не лише безпосередньо шифруванням, але й вносив у конфігурацію операційної системи низку змін, щоб його було складніше видалити. Крім того, він шифрував практично всі файли на комп'ютері, виключаючи критично важливі для роботи операційної системи.
Творці Fonix надавали доступ до нього за схемою Ransomware-as-a-Service (RaaS), так що безпосередньо атаками займалися вже покупці. Починаючи приблизно з літа 2020 року, Fonix активно рекламувався на форумах хакерів. Як «конкурентна перевага» цього шифрувальника автори робили ставку на його початкову безоплатність — вони не вимагали нічого за використання і брали лише відсоток із заплачених викупів.
В результаті шкідливість поширювався різними групами, як правило, через спам-розсилки. Тому серед жертв Fonix були й приватні особи, та організації. На щастя, масової популярності цей шифрувальник не набрав і жертв було відносно небагато.
Кіберзлочин усередині кіберзлочину
У тій же заяві авторів Fonix про припинення роботи сказано, що не всі учасники групи погоджуються з рішенням зав'язати зі злочинною діяльністю. Зокрема, адміністратор їх Telegram-каналу намагається продати вихідний код шифрувальника та якісь дані. Втім, код несправжній, так що це, по суті, шахрайство під виглядом продажу шкідливого ПЗ (принаймні так стверджується у твіттері групи). Зрозуміло, що жертвами тут могли стати лише інші кіберзлочинці, проте шахрайство від цього шахрайством бути не перестає.
Мотивація авторів
Адміністратор FonixCrypter Project зізнався, що не планував займатися злочинною діяльністю, а на створення шифрувальника його штовхнула «складна економічна ситуація«. Але його замучила совість, внаслідок чого він видалив вихідний код, приніс вибачення жертвам і опублікував майстер-ключ. Надалі він планує використати накопичений досвід у сфері аналізу зловредів та сподівається, що решта «колег» приєднається до нього в цьому починанні.