{"id":20979,"date":"2021-02-03T14:58:06","date_gmt":"2021-02-03T20:58:06","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=20979"},"modified":"2021-02-03T14:58:06","modified_gmt":"2021-02-03T20:58:06","slug":"fonix-decryptor","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/fonix-decryptor\/20979\/","title":{"rendered":"Un descifrador gratuito para el ransomware Fonix"},"content":{"rendered":"

Cuando el grupo de ransomware<\/em> Fonix anunci\u00f3<\/a> el fin de sus actividades y public\u00f3 la clave maestra<\/a> para descifrar los archivos cifrados, nuestros expertos de inmediato actualizaron la herramienta Rakhni Decryptor para automatizar el proceso. Puedes descargar la herramienta aqu\u00ed<\/a>.<\/p>\n

El caso de Fonix es otro ejemplo de por qu\u00e9 si no planeas pagar el rescate (una decisi\u00f3n inteligente), debes quedarte con tus datos cifrados. No todos los cibercriminales se arrepientes y publican las claves (o se les detiene y sus servidores se ven confiscados), pero si las claves se encuentran disponibles en alg\u00fan punto, pueden usarlas para restaurar el acceso a tu informaci\u00f3n, pero solo si la conservas.<\/p>\n

Por qu\u00e9 Fonix es peligroso<\/h2>\n

Fonix es un ransomware<\/em> conocido como Xinof. Los cibercriminales usaron ambos nombres y los archivos cifrados se renombraban con algunas de las extensiones .xinof o .fonix. Los analistas describieron al ransomware<\/em> como bastante agresivo: adem\u00e1s de cifrar los archivos en los sistemas atacados, el malware interven\u00eda el sistema operativo para impedir su eliminaci\u00f3n. Tambi\u00e9n cifraba pr\u00e1cticamente todos los archivos en la computadora atacada, pero dejaba solamente los archivos cr\u00edticos para sistema operativo.<\/p>\n

Los autores del malware<\/em> ofrec\u00edan Fonix como un modelo de ransomware<\/em> como servicio (RaaS<\/a>, por sus siglas en ingl\u00e9s), con lo cual los clientes llevaban a cabo los ataques reales. Desde el verano del 2020, los foros de hackers<\/em> se llenaron de anuncios sobre el malware<\/em>. En un principio, se ofreci\u00f3 a los operadores usar la herramienta de modo gratuito, lo que le daba a Fonix la ventaja competitiva; los creadores tomaron solamente un porcentaje del pago de rescate recibido.<\/p>\n

Por consiguiente, varias campa\u00f1as no relacionadas ayudaron al malware<\/em> a expandirse, generalmente a trav\u00e9s del env\u00edo de correos de spam<\/em>. Por lo tanto, Fonix afect\u00f3 tanto a usuarios individuales como empresas. Por fortuna, el ransomware<\/em> no se extendi\u00f3 demasiado, as\u00ed que las v\u00edctimas eran relativamente pocas.<\/p>\n

Cibercrimen dentro del cibercrimen<\/h2>\n

En su aviso, el grupo Fonix dijo que no todos los miembros estaban de acuerdo con la decisi\u00f3n de finalizar la operaci\u00f3n. El administrador de su canal de Telegram, por ejemplo, est\u00e1 intentando vender el c\u00f3digo fuente del ransomware<\/em> y otros datos. Sin embargo, ese c\u00f3digo no es verdadero (al menos no seg\u00fan la cuenta de Twitter del grupo Fonix), as\u00ed que esencialmente es una estafa contra los compradores del malware<\/em>. Si bien las \u00fanicas v\u00edctimas potenciales aqu\u00ed son otros cibercriminales, sigue trat\u00e1ndose de fraude.<\/p>\n

Motivaci\u00f3n<\/h2>\n

El administrador del proyecto FonixCrypter dijo que \u00e9l nunca se hab\u00eda propuesto involucrarse en actividades criminales, pero el retroceso econ\u00f3mico lo llev\u00f3 a crear el ransomware<\/em>. Posteriormente suprimi\u00f3 el c\u00f3digo fuente y, aduciendo el cargo de conciencia, se disculp\u00f3 con las v\u00edctimas y public\u00f3 la clave maestra. En el futuro, declar\u00f3, planea darle mejor uso a su conocimiento de an\u00e1lisis de malware<\/em> y espera que sus colegas se le unan en este esfuerzo.<\/p>\n

C\u00f3mo protegerte del ransomware<\/em><\/h2>\n

Fonix ya no es un problema; sin embargo, otras versiones del ransomware<\/em> est\u00e1n m\u00e1s activas que nunca en 2021. Nuestro consejo para permanecer seguro sigue siendo el mismo:<\/p>\n