Перейти к содержанию

Как расшифровать файлы, зашифрованные вымогателем Fonix


Рекомендуемые сообщения

Авторы шифровальщика Fonix внезапно объявили о прекращении своей деятельности и опубликовали мастер-ключ, которым можно декодировать пострадавшие файлы. Наши эксперты незамедлительно обновили утилиту Rakhni Decryptor для автоматизации этого процесса. Она доступна, например, вот здесь.

Пример Fonix лишний раз подтверждает, что даже если вы не планируете платить вымогателям, имеет смысл сохранить зашифрованные данные до лучших времен. Да, далеко не все злоумышленники раскаиваются и публикуют ключи, но и такое случается — и в этом случае зашифрованные файлы можно будет вернуть.  К тому же не стоит забывать, что иногда правоохранительным органам удается добыть ключи непосредственно с серверов киберпреступников.

Чем был опасен Fonix

Fonix также известен под именем Xinof — по крайней мере сами злоумышленники называли себя и так, и эдак, да и зашифрованные файлы получали расширения и .fonix и .xinof. Аналитики описывали этот шифровальщик-вымогатель как достаточно агрессивный. Как минимум потому, что он занимался не только непосредственно шифрованием, но и вносил в конфигурацию операционной системы ряд изменений, чтобы его было сложнее удалить. Кроме того, он шифровал практически все файлы на компьютере, исключая критически важные для работы операционной системы.

Создатели Fonix предоставляли доступ к нему по схеме Ransomware-as-a-Service (RaaS), так что непосредственно атаками занимались уже покупатели. Начиная примерно с лета 2020 года, Fonix активно рекламировался на хакерских форумах. В качестве «конкурентного преимущества» этого шифровальщика авторы делали ставку на его изначальную бесплатность — они не требовали ничего за использование и брали только процент с заплаченных выкупов.

В результате вредонос распространялся различными группами, как правило, через спам-рассылки. Поэтому среди жертв Fonix были и частные лица, и организации. К счастью, массовой популярности этот шифровальщик не набрал и жертв было относительно немного.

Киберпреступление внутри киберпреступления

В том же заявлении авторов Fonix о прекращении работы сказано, что не все участники группы согласны с решением завязать с преступной деятельностью. В частности, администратор их Telegram-канала пытается продать исходный код шифровальщика и какие-то данные. Впрочем, код ненастоящий, так что это, по сути, мошенничество под видом продажи вредоносного ПО (по крайней мере так утверждается в твиттере группы). Понятно, что жертвами тут могли стать только другие киберпреступники, однако мошенничество от этого мошенничеством быть не перестает.

 

View the full article

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Alex2088
      От Alex2088
      Здравствуйте помогите расшифровать файлы бызы 1с. Сылку для скачиваия файла прикриплю.
        https://dropmefiles.com/f0l5Y 
      Frank_Help.txt
       
      Сообщение от модератора kmscom тема перемещена из раздела Компьютерная помощь
    • lex-xel
      От lex-xel
      Пк взломали, был установлен антивирус Касперского, и запаролен. Ни какого софта не скачивал и не устанавливал, антивирус не отключал.
      Если возможно прошу помочь, заархивировали базу данных в формате rar с паролем и шифрованием. 
      ooo4ps.7z
    • Mitesoro
      От Mitesoro
      Добрый день зашифровалось все что было на ноутбуке и после этого все файлы начали выглядеть вот так  DSC_0235.JPG[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED]
       
      Ноутбук был нужен, на нем поменяли жесткий диск продолжили работу.
       
      во вложении приложены файлы до шифрования и после, а также логи сделанные на ноутбуке, где были установлены 2 жестких диска (нормальный и с зашифрованными файлами).
       
      не очень могу сообразить как сделать логи  с жесткого диска который зашифрован (не запускается винда с поврежденного диска).
       
      подскажите что-то можно сделать? 
       
      Красный Труженник.doc[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED].id-F40111D9.[filesneed@aol.com].VWA[graff_de_malfet@protonmail.ch].[EAC826E1-E7C597ED] Красный Труженник.doc CollectionLog-2020.05.12-22.04.zip
    • Алексей Андронов
      От Алексей Андронов
      Добрый день!
       
      Поймали шифровальщика, который работает до сих пор на отключенном от интернета ПК.
      Ничего не переустанавливали и не трогали.
      Все, что можно спасти, копируем.
      Пострадал один ПК и один резервный сменный накопитель.
      Шифровальщик затронул большинство файлов.
      Предположительно получен по почте 02.12.24 под видом акта сверки расчетов
       
      Прошу помощи в излечении и расшифровке
       
      Во вложении логи FRST, архив с документами и запиской вымогателей и, предположительно, дроппер с которого произошло заражение и резидентный модуль
      архив.zip virus.zip Addition.txt FRST.txt
    • ALFGreat
      От ALFGreat
      Добрый день! Сегодня обнаружилось, что зашифрован сервер. Открылся файл, мол пишите на адрес a38261062@gmail.com 
      Какой порядок действий? Возможно ли как то восстановить? Как узнать под какой учеткой был запущен шифровальщик?
×
×
  • Создать...