Οι χάκερς που βρίσκονται πίσω από το FonixCrypter ransomware, ανακοίνωσαν στις 30 Ιανουαρίου στο Twitter ότι έχουν διαγράψει τον πηγαίο κώδικα του ransomware και σκοπεύουν να σταματήσουν την «επιχείρησή» τους. Επιπλέον, κυκλοφόρησαν ένα πακέτο που περιέχει ένα εργαλείο αποκρυπτογράφησης, οδηγίες και το κύριο κλειδί αποκρυπτογράφησης του ransomware. Αυτά μπορούν να τα χρησιμοποιήσουν τα θύματα του FonixCrypter για να αποκρυπτογραφήσουν και να ανακτήσουν τα αρχεία τους δωρεάν, χωρίς να χρειάζεται να πληρώσουν για να λάβουν ένα κλειδί αποκρυπτογράφησης από τους χάκερς.
Ο Allan Liska, ερευνητής ασφαλείας από την εταιρεία threat intelligence “Recorded Future”, δοκίμασε τον αποκρυπτογράφο και επιβεβαίωσε ότι το FonixCrypter app, οι οδηγίες και το κύριο κλειδί λειτουργούν όπως ισχυρίζονται οι χάκερς.
Αξίζει να αναφερθεί ότι η Emsisoft εργάζεται επί του παρόντος για την ανάπτυξη ενός καλύτερου αποκρυπτογράφου, που αναμένεται να κυκλοφορήσει την επόμενη εβδομάδα, δήλωσε στο ZDNet ο Michael Gillespie, ερευνητής ασφαλείας της Emsisoft που ειδικεύεται στη διακοπή της κρυπτογράφησης ransomware.
Στα θύματα του FonixCrypter ransomware συνιστάται να αναμένουν τον αποκρυπτογράφο της Emsisoft αντί να χρησιμοποιήσουν αυτόν που παρέχεται από τους χειριστές του ransomware, το οποίο ενδέχεται να περιέχει άλλα malware, όπως backdoors, που μπορεί να εγκατασταθούν στα συστήματά τους.
Η συμμορία του FonixCrypter ransomware δραστηριοποιείται στο τοπίο των απειλών τουλάχιστον από τον Ιούνιο του 2020 απαριθμώντας θύματα σε όλο τον κόσμο, σύμφωνα με τον Andrew Ivanov, Ρώσο ερευνητή ασφαλείας που παρακολουθεί ransomware περιστατικά τα τελευταία τέσσερα χρόνια. Ο Ivanov αναφέρει σε σχετικό του blog post ένα ιστορικό συνεχών ενημερώσεων στον κώδικα του FonixCrypt, με τουλάχιστον επτά διαφορετικές παραλλαγές του ransomware να έχουν κυκλοφορήσει πέρυσι.
Υπάρχουν πολλές ενδείξεις που υποδηλώνουν ότι σταματά η εν λόγω κακόβουλη δραστηριότητα. Ειδικότερα, ο Liska επεσήμανε ότι η συμμορία του FonixCrypter έχει κλείσει το κανάλι της, όπου συνήθως διαφήμιζε το ransοmware της σε άλλες hacking συμμορίες, ενώ ανακοίνωσε επίσης σχέδια για άνοιγμα ενός νέου καναλιού στο άμεσο μέλλον.
Ωστόσο, οι χάκερς δεν διευκρίνισαν εάν αυτό το νέο Telegram κανάλι θα επικεντρωθεί στην παροχή ενός νέου και βελτιωμένου στελέχους ransοmware. Σύμφωνα με ένα μήνυμα που δημοσιεύτηκε στο Twitter, η ομάδα ισχυρίζεται ότι σκοπεύει να απομακρυνθεί από το ransomware και να χρησιμοποιήσει τις ικανότητές της με «θετικό τρόπο», χωρίς να προσδιορίσει τί ακριβώς συνεπάγεται αυτό.
