Cuando el grupo de ransomware Fonix anunció el fin de sus actividades y publicó la clave maestra para descifrar los archivos cifrados, nuestros expertos de inmediato actualizaron la herramienta Rakhni Decryptor para automatizar el proceso. Puedes descargar la herramienta aquí.
El caso de Fonix es otro ejemplo de por qué si no planeas pagar el rescate (una decisión inteligente), debes quedarte con tus datos cifrados. No todos los cibercriminales se arrepientes y publican las claves (o se les detiene y sus servidores se ven confiscados), pero si las claves se encuentran disponibles en algún punto, pueden usarlas para restaurar el acceso a tu información, pero solo si la conservas.
Por qué Fonix es peligroso
Fonix es un ransomware conocido como Xinof. Los cibercriminales usaron ambos nombres y los archivos cifrados se renombraban con algunas de las extensiones .xinof o .fonix. Los analistas describieron al ransomware como bastante agresivo: además de cifrar los archivos en los sistemas atacados, el malware intervenía el sistema operativo para impedir su eliminación. También cifraba prácticamente todos los archivos en la computadora atacada, pero dejaba solamente los archivos críticos para sistema operativo.
Los autores del malware ofrecían Fonix como un modelo de ransomware como servicio (RaaS, por sus siglas en inglés), con lo cual los clientes llevaban a cabo los ataques reales. Desde el verano del 2020, los foros de hackers se llenaron de anuncios sobre el malware. En un principio, se ofreció a los operadores usar la herramienta de modo gratuito, lo que le daba a Fonix la ventaja competitiva; los creadores tomaron solamente un porcentaje del pago de rescate recibido.
Por consiguiente, varias campañas no relacionadas ayudaron al malware a expandirse, generalmente a través del envío de correos de spam. Por lo tanto, Fonix afectó tanto a usuarios individuales como empresas. Por fortuna, el ransomware no se extendió demasiado, así que las víctimas eran relativamente pocas.
Cibercrimen dentro del cibercrimen
En su aviso, el grupo Fonix dijo que no todos los miembros estaban de acuerdo con la decisión de finalizar la operación. El administrador de su canal de Telegram, por ejemplo, está intentando vender el código fuente del ransomware y otros datos. Sin embargo, ese código no es verdadero (al menos no según la cuenta de Twitter del grupo Fonix), así que esencialmente es una estafa contra los compradores del malware. Si bien las únicas víctimas potenciales aquí son otros cibercriminales, sigue tratándose de fraude.
Motivación
El administrador del proyecto FonixCrypter dijo que él nunca se había propuesto involucrarse en actividades criminales, pero el retroceso económico lo llevó a crear el ransomware. Posteriormente suprimió el código fuente y, aduciendo el cargo de conciencia, se disculpó con las víctimas y publicó la clave maestra. En el futuro, declaró, planea darle mejor uso a su conocimiento de análisis de malware y espera que sus colegas se le unan en este esfuerzo.
Cómo protegerte del ransomware
Fonix ya no es un problema; sin embargo, otras versiones del ransomware están más activas que nunca en 2021. Nuestro consejo para permanecer seguro sigue siendo el mismo:
- Ten cuidado con los archivos adjuntos en correos.
- No ejecutes archivos obtenidos de fuentes sin verificar.
- Utiliza soluciones de seguridad en los dispositivos de hogar y del trabajo con acceso a Internet.
- Realiza copias de seguridad de todos los datos críticos y almacénalos en dispositivos no conectados a tu red.
Nuestros productos para usuarios domésticos y empresas detectan Fonix (y otros ransomware) de modo proactivo. Además, nuestros escáneres de archivos identifican Fonix antes de que tenga la oportunidad de ejecutarse.
Insistimos: si eres víctima del ransomware Fonix, puedes recuperar tus datos mediante la herramienta RakhniDecryptor 1.27.0.0, que puedes descargar desde NoRansom.kaspersky.com.