Toen de groep van de Fonix-ransomware plotseling het einde van hun activiteiten aankondigde en een master key pubiceerde voor het decoderen van versleutelde bestanden, updateten onze experts onmiddellijk de Rakhni Decryptor Tool om het proces te automatiseren. U kunt deze tool hier downloaden.
Het Fonix-voorbeeld illustreert nogmaals waarom u versleutelde gegevens moet bewaren, zelfs als u niet van plan bent om het losgeld te betalen (wat overigens een verstandige beslissing is). Niet alle cybercriminelen betuigen spijt en publiceren de sleutels online (of worden gepakt en hun servers worden geconfisqueerd), maar als deze sleutels op een gegeven moment beschikbaar worden, kunt u ze gebruiken om opnieuw toegang te krijgen tot uw informatie — maar natuurlijk alleen als u die heeft bewaard.
Waarom Fonix gevaarlijk was
Fonix-ransomware was ook bekend onder de naam Xinof. De cybercriminelen gebruikten beide namen en versleutelde bestanden kregen een nieuwe naam met ofwel de extensie .xinof of .fonix. Analisten beschreven de ransomware als tamelijk agressief: behalve het versleutelen van bestanden op doelsystemen, sleutelde de malware ook aan het besturingssysteem om pogingen om het te verwijderen te dwarsbomen. Het versleutelde praktisch alle bestanden op de doelcomputer en liet alleen de bestanden die kritiek waren voor het besturingssysteem met rust.
De makers van de malware verhuurden Fonix onder een ransomware-as-a-service-model (RaaS), waardoor hun klanten de daadwerkelijke aanvallen uitvoerden. Zo rond de zomer van 2020 was er op hackersfora sprake van hevige reclame voor de malware. Er werd in eerste instantie gratis gebruik van de tool aangeboden, waardoor Fonix een concurrentievoordeel verkreeg; de makers ontvingen alleen een percentage van eventueel geïnd losgeld.
Het resultaat was dat verschillende losstaande campagnes hielpen om de malware te verspreiden, normaal gesproken via spam-mailings. Daarom trof Fonix zowel individuele gebruikers als bedrijven. Gelukkig nam de populariteit van de ransomware geen vlucht, dus er waren relatief weinig slachtoffers.
Cybermisdaad binnen cybermisdaad
In hun aankondiging zei de Fonix-groep dat niet alle leden het eens waren met de beslissing om de operatie stop te zetten. De beheerder van hun Telegram-kanaal probeert de broncode van hun ransomware en andere gegevens bijvoorbeeld nog altijd te verkopen. Die code is echter niet echt (in ieder geval niet volgens het Twitter-account van de Fonix-groep), dus het is in feite een scam gericht op kopers van malware. Hoewel de enige potentiële slachtoffers in dit geval andere cybercriminelen zijn, blijft het natuurlijke fraude.
Motivatie
De beheerder van het FonixCrypter-project zei dat hij nooit de bedoeling had gehad om criminele activiteiten te ondernemen, maar economische neergang had ertoe geleid dat hij de ransomware creëerde. Hij verwijderde de broncode later en bood vanwege een schuldgevoel excuses aan de slachtoffers aan en publiceerde de master key. Hij zei ook dat hij van plan is om in de toekomst zijn kennis van malware-analyse op een betere manier te gebruiken en hoopt dat zijn collega’s hem hierbij willen helpen.
Hoe u zich tegen ransomware beschermt
Fonix is niet langer een probleem, maar er zijn nog andere soorten ransomware die actiever dan ooit zijn in 2021. Ons advies om hiertegen beschermd te zijn, blijft veelal hetzelfde:
- Pas op met e-mails met bijlages;
- Run geen bestanden die u van niet-geverifieerde bronnen hebt verkregen;
- Gebruik beveiligingsoplossingen op alle thuis- en werkapparaten die toegang tot het internet hebben;
- Maak back-ups van alle kritieke gegevens en sla deze op op bestanden die niet met uw netwerk zijn verbonden.
Onze producten voor thuisgebruikers en bedrijven detecteren Fonix (en andere ransomware) proactief. Bovendien identificeren onze bestandscanners Fonix voordat het actief kan worden.
Nogmaals: Als u slachtoffer wordt van de Fonix-ransomware, kunt u uw gegevens herstellen met gebruik van onze tool RakhniDecryptor 1.27.0.0, die u kunt downloaden via NoRansom.kaspersky.com.