Lorsque le groupe du ransomware Fonix a soudainement annoncé la fin de ses activités et a publié la clé qui permet de déchiffrer tous les fichiers affectés, nos experts ont immédiatement mis à jour l’outil Rakhni Decryptor pour automatiser le processus. Cliquez ici pour télécharger l’outil en question.
Le cas de Fonix illustre encore une fois pourquoi vous devriez vous accrocher aux données chiffrées même si vous n’envisagez pas de payer la rançon (un choix judicieux). Certains cybercriminels n’ont pas de remord et ne publient pas les clés de déchiffrement (ou se font arrêter suite à quoi leurs serveurs sont confisqués), mais si les clés sont disponibles à un moment donné alors vous pouvez vous en servir pour restaurer l’accès à vos données, mais seulement si vous les conservez.
Quels étaient les dangers de Fonix
Le ransomware Fonix était aussi connu comme Xinof. Les cybercriminels utilisaient les deux noms et les fichiers chiffrés étaient renommés avec l’extension .xinof ou .fonix. Les analystes ont décrit le ransomware comme assez agressif. En plus de chiffrer les fichiers des systèmes pris pour cible, le malware jouait avec le système d’exploitation pour entraver les efforts visant à le supprimer. Il chiffrait presque tous les fichiers de l’ordinateur et ne laissait que ceux nécessaires au fonctionnement du système d’exploitation.
Les auteurs du malware proposaient Fonix sur une plateforme RaaS (ransomware-as-a-service) et laissaient les clients perpétrer les attaques. C’est au début de l’été 2020 que le ransomware a fait l’objet d’une très grande publicité sur les forums de cybercriminels. Les opérateurs pouvaient utiliser gratuitement l’outil, ce qui a donné un vrai avantage concurrentiel à Fonix. Les auteurs ne prenaient qu’un pourcentage sur les rançons payées par les victimes.
Par conséquent, plusieurs campagnes sans connexion ont aidé à la diffusion du malware, notamment via l’envoi de spams en masse. C’est ainsi que Fonix a pu atteindre les particuliers et les entreprises. Heureusement, la popularité du ransomware n’a pas été si importante et il n’y a eu que quelques victimes.
Cybercriminalité au sein de la cybercriminalité
Lors de son annonce, le groupe Fonix a expliqué que certains membres n’étaient pas d’accord avec cette décision de mettre un terme à l’opération. L’administrateur de leur chaîne Telegram, par exemple, essaie de vendre le code source du ransomware et d’autres données. Pourtant, ce code n’est pas réel (du moins selon le compte Twitter du groupe Fonix) et il s’agit tout simplement d’une arnaque qui vise les acheteurs de malwares. Même si les victimes potentielles ne sont que des cybercriminels, une arnaque reste une arnaque.
Motivation
L’administrateur du projet FonixCrypter a expliqué qu’il n’avait jamais eu l’intention de se livrer à des activités criminelles mais que la crise économique l’a obligé à créer un ransomware. Il a ensuite supprimé le code source et, se sentant coupable, s’est excusé auprès des victimes et a publié la clé de déchiffrement. À l’avenir, il envisage d’utiliser ses connaissances sur les malwares à meilleur escient et espère que ses collègues feront de même.
Comment se protéger des ransomwares
Fonix n’est plus un problème. Pourtant, d’autres souches de ransomwares sont plus actives que jamais en 2021. Nos conseils pour ne pas prendre de risques sont toujours les mêmes :
- Méfiez-vous des e-mails qui ont des pièces jointes.
- N’exécutez pas les fichiers dont vous ne connaissez pas la source.
- Installez des solutions de sécurité sur tous les dispositifs professionnels et personnels qui ont accès à Internet.
- Faites des backups de toutes les données sensibles et conservez-les sur des appareils qui ne sont pas connectés au réseau.
Nos produits destinés aux particuliers et aux entreprises détectent Fonix (et les autres ransomwares) de façon proactive. De plus, notre scanner de fichiers détecte Fonix avait qu’il ne puisse s’exécuter.
Au risque de nous répéter : si vous avez été victime du ransomware Fonix, vous pouvez récupérer vos données grâce à l’outil Rakhni Decryptor 1.27.0.0 disponible sur notre site NoRansom.kaspersky.com.