Η Kaspersky κυκλοφόρησε έναν αποκρυπτογράφο για το Fonix ransomware (XONIF) που επιτρέπει στα θύματα να ανακτήσουν τα κρυπτογραφημένα αρχεία τους δωρεάν. Το Fonix ransomware, που είναι επίσης γνωστό ως Xinof και FonixCrypter, ξεκίνησε να αναπτύσσει δραστηριότητα στο τοπίο των απειλών τον Ιούνιο του 2020, έχοντας αυξήσει σημαντικά τον αριθμό των θυμάτων του από τον Νοέμβριο του ίδιου έτους. Τώρα, ο αποκρυπτογράφος έρχεται να λύσει τα χέρια των θυμάτων.
Στις 29 Ιανουαρίου, ένας από τους διαχειριστές του Fonix ransomware έγραψε στο Twitter ότι έχουν σταματήσει την «επιχείρηση» του ransomware και έχουν κυκλοφορήσει το κύριο κλειδί αποκρυπτογράφησης. Συγκεκριμένα, το μέλος της συμμορίας του Fonix ransomware ανέφερε τα ακόλουθα:
«Είμαι διαχειριστής της ομάδας του Fonix. Γνωρίζετε για την ομάδα του Fonix αλλά έφτασε στο τέλος της. Πρέπει να χρησιμοποιούμε τις ικανότητές μας με θετικούς τρόπους και να βοηθάμε τους άλλους. Επίσης, η πηγή ransomware διαγράφεται εντελώς, αλλά μερικά από τα μέλη της ομάδας διαφωνούν με το κλείσιμο του έργου, όπως ο διαχειριστής του καναλιού του Telegram που προσπαθεί να εξαπατήσει τους ανθρώπους στο κανάλι του Telegram με την πώληση ψεύτικων πηγών και δεδομένων. Τέλος πάντων, ο κύριος διαχειριστής αποφάσισε να αφήσει όλες τις προηγούμενες εργασίες στην άκρη και να αποκρυπτογραφήσει όλα τα μολυσμένα συστήματα χωρίς κόστος. “- FonixTeam».
Ο διαχειριστής του Fonix ransomware δήλωσε στο BleepingComputer ότι η συμμορία είχε κρυπτογραφήσει περίπου 5.000 – 6.000 συστήματα καθ ‘όλη τη διάρκεια της δράσης της.
Λίγο μετά την δημοσίευση του αποκρυπτογράφου, ο Michael Gillespie επιβεβαίωσε με το BleepingComputer ότι το κλειδί ήταν έγκυρο και θα μπορούσε να χρησιμοποιηθεί για την αποκρυπτογράφηση των αρχείων ενός θύματος.
Τα θύματα του Fonix ransomware, μπορούν να αποκρυπτογραφήσουν τα αρχεία σας δωρεάν χρησιμοποιώντας μια ενημερωμένη έκδοση του Kaspersky’s RakhniDecryptor. Αρχικά, θα πρέπει να κατεβάσουν τον αποκρυπτογράφο σε μια συσκευή με κρυπτογραφημένα αρχεία και να ξεκινήσουν το πρόγραμμα. Θα τους ζητηθεί να αποδεχτούν μια συμφωνία άδειας χρήσης και θα εμφανιστεί η κύρια διεπαφή.
Όταν είναι έτοιμοι να αποκρυπτογραφήσουν τα αρχεία τους, θα πρέπει να κάνουν κλικ στο κουμπί “Έναρξη σάρωσης” και ο αποκρυπτογράφος της Kaspersky θα τους ζητήσει να επιλέξουν ένα κρυπτογραφημένο αρχείο. Μόλις επιλεγεί, ο αποκρυπτογράφος θα αναζητήσει το κλειδί αποκρυπτογράφησής τους και όταν βρεθεί, θα πρέπει να αρχίσουν να αποκρυπτογραφούν τα αρχεία τους.
Τέλος, αφού αποκρυπτογραφήσουν τα αρχεία τους και διαπιστώσουν ότι ανοίγουν σωστά, τα θύματα του ransomware μπορούν να διαγράψουν τα εναπομείναντα κρυπτογραφημένα αρχεία.
