ransomware
Cuando el grupo de ransomware Fonix anunció el fin de sus actividades y publicó la clave maestra para descifrar los archivos cifrados, nuestros expertos actualizaron de inmediato la herramienta Rakhni Decryptor para automatizar el proceso. Puedes descargar esta herramienta aquí.
El caso de Fonix es otro ejemplo de por qué, aunque no planeas pagar el rescate (una decisión inteligente), debes conservar tus datos cifrados. No todos los ciberdelincuentes se arrepienten y publican las claves (o se les detiene y sus servidores se ven confiscados), pero si las claves se encuentran disponibles en algún momento, podrás usarlas para restaurar el acceso a tu información, eso sí, siempre que la conserves.
Por qué Fonix es peligroso
Fonix es un ransomware conocido como Xinof. Los ciberdelincuentes usaban ambos nombres, por lo que los archivos cifrados se renombraban con las extensiones .xinof o .fonix. Los analistas describieron el ransomware como altamente agresivo: además de cifrar los archivos de los sistemas atacados, el malware intervenía el sistema operativo para impedir su eliminación. También cifraba prácticamente todos los archivos del ordenador atacado, dejando únicamente los archivos críticos del sistema operativo.
Los autores del malware ofrecían Fonix como un modelo de ransomware como servicio (RaaS, por sus siglas en inglés), con el que los clientes llevaban a cabo los ataques reales. Desde el verano del 2020, los foros de ciberdelincuentes se llenaron de anuncios sobre este malware. En un principio, se ofrecía a los operadores usar la herramienta de forma gratuita, lo que concedía a Fonix cierta ventaja competitiva; los creadores se quedaban solamente con un porcentaje del pago del rescate.
Por consiguiente, varias campañas no relacionadas ayudaron al malware a expandirse, generalmente a través del envío de correos de spam. Por lo tanto, Fonix afectó tanto a usuarios individuales como a empresas. Por fortuna, el ransomware no se extendió demasiado, así que las víctimas fueron relativamente pocas.
El cibercrimen dentro del cibercrimen
En su comunicado, el grupo Fonix anunció que no todos los miembros estaban de acuerdo con la decisión de finalizar la operación. El administrador de su canal de Telegram, por ejemplo, está intentando vender el código fuente del ransomware y otros datos. Sin embargo, ese código no es verdadero (al menos según la cuenta de Twitter del grupo Fonix), por lo que básicamente se trata de una estafa contra los compradores del malware. Aunque las únicas víctimas potenciales aquí son otros ciberdelincuentes, no deja de ser un fraude.
Los motivos
El administrador del proyecto FonixCrypter afirmó que él nunca se había propuesto involucrarse en actividades criminales, pero el retroceso económico le llevó a crear el ransomware. Posteriormente suprimió el código fuente y, aduciendo el cargo de conciencia, se disculpó con las víctimas y publicó la clave maestra. En el futuro, declaró, tiene pensado dar un mejor uso de sus conocimientos de análisis de malware y espera que sus colegas le acompañen en este nuevo propósito.
Cómo protegerte del ransomware
Fonix ya no es un problema; sin embargo, otras versiones de ransomware están más activas que nunca en el 2021. Nuestro consejo para permanecer seguro sigue siendo el mismo:
- Lleva cuidado con los archivos adjuntos en correos.
- No ejecutes archivos obtenidos de fuentes sin verificar.
- Utiliza soluciones de seguridad en los dispositivos domésticos y corporativos con acceso a Internet.
- Realiza copias de seguridad de todos los datos críticos y almacénalos en dispositivos no conectados a tu red.
Nuestros productos para usuarios domésticos y empresas detectan Fonix (y otros ransomware) de forma proactiva. Además, nuestros escáneres de archivos identifican Fonix antes de que tenga la oportunidad de ejecutarse.
Insistimos: si eres víctima del ransomware Fonix, puedes recuperar tus datos mediante la herramienta RakhniDecryptor 1.27.0.0, que puedes descargar desde NoRansom.kaspersky.com.
