Kostenloses Dekryptor-Tool für Fonix-Ransomware

Nachdem die Entwickler der Fonix-Ransomware ihre böswilligen Aktivitäten einstellten und den Masterkey veröffentlichten, machten wir einen Decrypter daraus.

Als die Fonix-Malware-Familie plötzlich bekannt gab, dass sie ihre Aktivitäten eingestellt haben und den Masterkey veröffentlichten, mit dem die durch Fonix verschlüsselten Dateien dechiffriert werden können, aktualisierten unsere Experten sofort das RakhniDecryptor-Tool, um den Prozess zu automatisieren. Das Entschlüsselungstool können Sie direkt hier herunterladen.

Der Fonix-Fall bestätigt erneut, dass Opfer von Ransomware, die nicht vorhaben das Lösegeld zu zahlen (eine kluge Entscheidung), die verschlüsselten Dateien aufbewahren sollten. Natürlich bekommen nicht alle Cyberkriminelle ein schlechtes Gewissen und veröffentlichen ihre Schlüssel (oder werden erwischt und deren Server wird beschlagnahmt), aber es ist durchaus möglich, dass die Schlüssel zu einem bestimmten Zeitpunkt öffentlich gemacht werden und die Daten wiederhergestellt werden können – was allerdings nur geht, wenn die Daten auch aufbewahrt wurden.

Das Gefährliche an Fonix

Die Fonix-Erpressungssoftware ist auch unter Xinof bekannt. Cyberverbrecher verwendeten beide Namen und die verschlüsselten Dateien wurden entweder mit der Erweiterung .xinof oder .fonix umbenannt. Analysten stuften die Ransomware als besonders aggressiv ein, denn die Malware verschlüsselt nicht nur die Dateien, sondern beeinträchtigt auch das Betriebssystem, um den Opfern die Möglichkeit zu nehmen, ohne Beteiligung der Angreifer wieder auf die verschlüsselten Dateien zuzugreifen. Im Gegensatz zu anderer Ransomware verschlüsselt Fonix alle Dateien auf dem Computer mit Ausnahme kritischer Systemdateien.

Ein weiterer Unterschied von Fonix ist, dass es sich um ein Ransomware-as-a-Service (RaaS) handelt, der Cyberkriminellen ermöglicht die Erpressersoftware über ein Abonnement zu nutzen, genau wie bei einem herkömmlichen SaaS. Im Sommer 2020 wurde die Malware in Foren von Hackern stark beworben. Die Betreiber stellten die Software kostenlos zur Verfügung, ein großer Wettbewerbsvorteil für Fonix, denn die Entwickler forderten nur einen Teil der kassierten Erpressungsgelder.

So kam es zu einer schnellen Verbreitung der Ransomware durch verschiedene, nicht miteinander verbundene Kampagnen, die überwiegend auf Spam-Mailings basierten. Daher fielen sowohl individuelle Benutzer als auch Unternehmen der Erpressersoftware zum Opfer. Glücklicherweise genoss die Ransomware keine weitverbreitete Popularität und die Anzahl der Opfer hielt sich in Grenzen.

Cyberkriminalität innerhalb der Cyberkriminalität

In der Bekanntmachung erklärte die Fonix-Gruppe, dass nicht alle Mitglieder mit der Einstellung der Aktivität einverstanden waren. Der Administrator des Telegram-Channels versuchte beispielsweise den Quellcode und andere Daten der Ransomware zu verkaufen. Allerdings besitzt er den echten Code gar nicht, (zumindest laut dem Twitter-Konto der Fonix-Gruppe), also besteht das Ziel dieses Angebots im Wesentlichen darin, Malware-Käufer zu betrügen. Auch wenn in diesem Fall die potenziellen Opfer selbst Cyberverbrecher sind, ist es trotzdem Betrug.

Motivation

Laut dem Administrator des FonixCrypter-Projekts wollten sie das Produkt ursprünglich überhaupt nicht für kriminelle Aktivitäten einzusetzen, aber die rückläufigen Einnahmen wurden letztendlich zum Bewegungsgrund, eine Ransomware zu entwickeln. Später löschte er den Quellcode, entschuldigte sich bei den Opfern – laut Eigenangabe, weil ihn das schlechte Gewissen plagte – und veröffentlichte den Masterkey. In der Zukunft möchte er sein Wissen über Malware-Analyse zu einem besseren Zweck verwenden und hofft, dass seine Kollegen sich dem neuen Vorhaben anschließen.

Wie Sie sich vor Ransomware schützen können

Fonix stellt inzwischen keine Bedrohung mehr dar, aber andere Ransomware-Betreiber sind in 2021 aktiver denn je. Unsere Ratschläge zur Risikoprävention sind dennoch so ziemlich die gleichen:

  • Bei E-Mails mit Anhängen ist Vorsicht geboten.
  • Sie sollten keine Dateien von unbekannten Quellen ausführen.
  • Verwenden Sie auf allen Geräten mit Internetanschluss eine Sicherheitslösung, sowohl auf der Arbeit als auch zu Hause.
  • Machen Sie Sicherheitskopien von kritischen Daten und speichern Sie diese auf Geräten, die nicht mit Ihrem Netzwerk verbunden sind.

Unsere Produkte für Privatanwender und Unternehmen entdecken Fonix (und andere Ransomware) auf proaktive Weise – Unser Daten-Scanner erkennt Fonix, bevor es der Malware möglich ist, sich auf Ihrem Gerät zu installieren.

Denken Sie daran: Sollten Sie der Fonix-Ransomware zum Opfer fallen, können Sie Ihre verschlüsselten Dateien mithilfe unseres RakhniDecryptor-Tool 1.27.0.0 wiederherstellen. Das Tool können Sie direkt auf der Seite NoRansom.kaspersky.com herunterladen.

Tipps