martedì 2 febbraio 2021

Il Ransomware Fonix arresta le operazioni e rilascia la master key: la criptazione è risolvibile!

Gli operatori del ransomware Fonix hanno cessato le operazioni e reso pubblica la master key tramite la quale le vittime di questa infezione potranno riportare in chiaro i propri file. 

Fonix in breve
Questo ransomware, conosciuto anche come Xinof o FonixCrypter, ha iniziato le operazioni poco tempo fa, nel Giugno 2020 e da allora ha costantemente infettato macchine senza far registrare alcun periodo di stop alla diffusione. Questa operazione ransomware non è stata così attiva come altre simili e ben più famigerate (pensiamo a REvil o STOP), però ha mostrato un certo aumento dell'attività.

Pochi giorni fa, un profilo Twitter appartenente (stando alle sue proprie dichiarazioni) agli amministratori di Fonix ha annunciato lo shut down del ransomware, con questo messaggio:


"Sono uno degli amministratori del team Fonix. Conosci già il team Fonix, ma siamo giunti alla conclusione. Dovremmo usare le nostre abilità in modi positivi e per aiutare gli altri. Anche il sorgente del ransomware è stato completamente eliminato, ma alcuni membri del team non sono d'accordo alla chiusura del progetto, come l'amministratore del canale Telegram, che sta cercando di truffare le persone vendendo dati e sorgenti falsi. 

In ogni modo, da main admin ho deciso di mettere da parte tutto il lavoro fatto in precedenza e decriptare i sistemi infetti gratuitamente. La chiave di decriptazione sarà disponibile pubblicamente. La dichiarazione conclusiva del team sarà pubblicata a breve. 

Saluti, il Team Fonix."

Il messaggio parla chiaro: alcuni membri del gruppo non sono d'accordo con la decisione e quindi c'è da aspettarsi che decidano di approntare una nuova operazione ransomware oppure che preferiscano affiliarsi a programmi già esistenti. 

La chiave funziona, il decryptor invece...
Dopo la pubblicazione del Tweet l'admin Fonix ha condiviso il link ad un archivio in formato .RAR chiamato "Fonix_decrypter.rar" e contenente sia il decyrptor che la master key per la decriptazione.


Il problema è che il decryptor non può essere utilizzato da una vittima per decriptare i propri file, perchè è uno strumento di amministrazione interno pensato per essere usato esclusivamente dal team: è probabilmente lo strumento che il team usava per decriptare alcuni file campione da rispedire alle vittime come prova dell'effettiva possibilità di riportare in chiaro i file criptati. E' questo, un passaggio molto comune, che le vittime eseguono prima di pagare il riscatto per avere certezza che i file possano tornare in chiaro. 

Il problema è che un tool di questo tipo può decriptare pochi file e non un intero computer infetto. 

La redazione di Bleeping Computer ha proceduto anche ad analisi più approfondita notando che, anche nel caso in cui un utente decidesse di tentare la decriptazione di un file per volta, il tool è comunque soggetto a bug e crash continui. In ogni caso c'è la conferma che la master key funziona per praticamente tutte le versioni del ransomware eccettuate le più recenti, sicuramente quelle con estensione:

  • .Fonix, 
  • .FONIX,
  • .repter,
  • .XINOF. 

Un decryptor approntato dall'esperto di ransomware Michael Gillespie sarà presto disponibile online, stabile e sicuro, così da garantire alle vittime di riportare in chiaro gratuitamente i propri file. 

Nessun commento:

Posta un commento