author: MalwarebytesLABS
勒索软件团伙收拾家伙离开犯罪领域已经不是什么新鲜事了,从另一方面来说,这确实是一件难得的事。
Fonix 勒索软件 (也称为 FonixCryptor、Xinof) 最近加入了 RaaS。
End of FonixCrypter Project :#Fonix #ransomware #XINOF #FonixCrypter #close_project #hack #Malware #raas #ransomware_as_a_service pic.twitter.com/wQdmp61juX
— fnx (@fnx67482837) January 29, 2021
Fonix 勒索软件最早是在 2020 年中期发现的,直到 9 月至 10 月才开始发生改变。据称它起源于伊朗,从已知的来看使用了四种加密方式,AES、Salsa20、ChaCha 和 RSA,由于它可以加密所有非关键性系统文件,因此与其它 RaaS 产品相比,它的速度较慢。
加密文件通常带有 .FONIX 和 .XINOF 文件扩展名,除此之外,还使用 .repter 扩展名,桌面壁纸会被更改为 Fonix logo。

相同的帐户在推特上宣布 Fonix 勒索软件的终止及作出道歉:
Project started only because of bad economical situation. But this work wasn't thing my heart wants. Now after closing Project i can sleep with be feeling guilty. No one else will encrypted with my ransomware and i feel better now.
— fnx (@fnx67482837) January 30, 2021
Regards.
并作出承诺 —— 弥补过错:
At least we have Special apology for all infected systems users.
— fnx (@fnx67482837) January 30, 2021
To make up for our mistakes , We will launch a malware analyze website soon To use our abilities in positive ways.
"We cannot despair of humanity, Since we ourselves are human begins"
承诺会出解密 .FONIX 和 .XINOF 文件所需的解密密钥以及管理工具,该管理工具一次只能解密一个文件。谨慎的读者可能希望等待更多合法机构编写的更有用的解密工具,然后再信任网络犯罪分子发布的代码。
这不是勒索软件组织表现出良知,2018 年,GandCrab 勒索软件的开发者宣布在 2019 年中期关闭其业务,但在一个叙利亚父亲发推特恳求他们之后,便公布了解密密钥,原因是 GandCrab 感染了他的系统,加密了相关照片,照片上是被战争带走的两个儿子。
在 2016 年,当 TeslaCrypt 退出 RaaS 时,一名安全研究人员与开发人员联系,是否会公布加密密钥。到最后他们确实公布了。
Fonix 团伙是否会信守诺言还有待观察。他们中一些或所有人可能会改变主意回到犯罪生活中,在勒索软件团伙中这样的做法并不是第一次。虽然 Fonix 团伙似乎已离开,但是在庞大的犯罪生态系统中,它只是一个小的参与者,勒索软件威胁仍存在。
(本文完)
必须 注册 为本站用户, 登录 后才可以发表评论!