Quando il gruppo ransomware Fonix ha improvvisamente annunciato la fine della sua attività e ha pubblicato la master key per decifrare i file criptati, i nostri esperti hanno immediatamente aggiornato il tool Rakhni Decryptor per automatizzare il processo. Potete scaricarlo proprio qui.

L’esempio di Fonix illustra ancora una volta perché, anche se non avete intenzione di pagare il riscatto (ed è una scelta intelligente), dovreste comunque mantenere i dati cifrati. Non tutti i criminali informatici si pentono e pubblicano le loro chiavi (o vengono catturati e i loro server confiscati), ma se a un certo punto le chiavi diventano disponibili, è possibile utilizzarle per ripristinare l’accesso alle vostre informazioni, ma solo se le avete conservate ovviamente.

Perché Fonix era considerato pericoloso

Il ransomware Fonix era conosciuto anche come Xinof. I criminali informatici hanno utilizzato entrambi i nomi, e i file cifrati sono stati rinominati con entrambe le estensioni, .xinof o .fonix. Gli analisti hanno descritto il ransomware come abbastanza aggressivo: oltre a cifrare i file sui sistemi delle vittime, il malware manipolava il sistema operativo per ostacolare gli sforzi di rimozione. Cifrava praticamente tutti i file sul computer obiettivo, lasciando solo quelli critici per il sistema operativo.

Gli autori del malware hanno creato Fonix seguendo il modello di ransomware-as-a-service (RaaS), lasciando ai client il compito di occuparsi degli attacchi effettivi. Più o meno a partire dalla scorsa estate, sui forum dei cybercriminali è apparsa un’intensa attività di pubblicità del malware. Chi si serviva del ransomware all’inizio poteva farlo gratuitamente, dando a Fonix un vantaggio competitivo: gli autori prendevano solo una percentuale di qualsiasi riscatto ottenuto.

Di conseguenza, varie campagne non collegate tra loro hanno aiutato il malware a diffondersi, di solito attraverso messaggi di spam. E così Fonix ha colpito sia i singoli utenti che le aziende. Fortunatamente, il ransomware non ha guadagnato una grande popolarità, quindi le vittime sono state relativamente poche.

Il cybercrimine dentro il cybercrimine

Nel suo annuncio, il gruppo Fonix ha dichiarato che non tutti i membri erano d’accordo con la decisione di chiudere. L’amministratore del suo canale Telegram, per esempio, sta cercando di vendere il codice sorgente del ransomware e altri dati. Tuttavia, quel codice non è reale (almeno, secondo l’account Twitter del gruppo Fonix), quindi è essenzialmente una truffa rivolta agli acquirenti del malware. Anche se le uniche vittime potenziali qui sono altri cybercriminali, si tratta comunque di una truffa.

Le ragioni di questa scelta

L’amministratore del progetto FonixCrypter ha detto che non ha mai avuto intenzione di impegnarsi in attività criminali, ma la crisi economica lo ha portato a creare il ransomware. In seguito ha cancellato il codice sorgente e, mosso dalla coscienza sporca, si è scusato con le vittime e ha pubblicato la master key. In futuro, ha riferito, ha intenzione di impiegare la sua conoscenza di analisi dei malware per scopi più nobili e spera che i suoi colleghi si uniranno a lui in questa impresa.

Come difendersi dai ransomware

Fonix non è più un problema; tuttavia, nel 2021 esistono altre tipologie di ransomware e sono più attivi che mai. Il nostro consiglio per stare al sicuro è sempre lo stesso:

• Diffidate delle e-mail con allegati;
• Non eseguite file ottenuti da fonti non verificate;
• Utilizzate soluzioni di sicurezza su tutti i dispositivi di casa e di lavoro che hanno accesso a Internet;
• Eseguite copie di backup di tutti i dati critici e custoditeli su dispositivi non collegati alla rete.

I prodotti Kaspersky per utenti privati e aziende rilevano Fonix (e altri ransomware) in modo proattivo. Inoltre, i nostri file scanner identificano Fonix prima che abbia la possibilità di essere eseguito.

Per ribadire: se siete vittima del ransomware Fonix, potete recuperare i vostri dati utilizzando il nostro strumento RakhniDecryptor 1.27.0.0, che potete scaricare da NoRansom.kaspersky.com

Per ulteriori informazioni: dircom@argonavis.it