{"id":24648,"date":"2021-02-04T16:11:50","date_gmt":"2021-02-04T14:11:50","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=24648"},"modified":"2021-02-04T16:11:50","modified_gmt":"2021-02-04T14:11:50","slug":"fonix-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/fonix-decryptor\/24648\/","title":{"rendered":"Un descifrador gratuito para el ransomware Fonix"},"content":{"rendered":"

Cuando el grupo de ransomware<\/em> Fonix anunci\u00f3<\/a> el fin de sus actividades y public\u00f3 la clave maestra<\/a> para descifrar los archivos cifrados, nuestros expertos actualizaron de inmediato la herramienta Rakhni Decryptor para automatizar el proceso. Puedes descargar esta herramienta aqu\u00ed<\/a>.<\/p>\n

El caso de Fonix es otro ejemplo de por qu\u00e9, aunque no planeas pagar el rescate (una decisi\u00f3n inteligente), debes conservar tus datos cifrados. No todos los ciberdelincuentes se arrepienten y publican las claves (o se les detiene y sus servidores se ven confiscados), pero si las claves se encuentran disponibles en alg\u00fan momento, podr\u00e1s usarlas para restaurar el acceso a tu informaci\u00f3n, eso s\u00ed, siempre que la conserves.<\/p>\n

Por qu\u00e9 Fonix es peligroso<\/h2>\n

Fonix es un ransomware<\/em> conocido como Xinof. Los ciberdelincuentes usaban ambos nombres, por lo que los archivos cifrados se renombraban con las extensiones .xinof o .fonix. Los analistas describieron el ransomware<\/em> como altamente agresivo: adem\u00e1s de cifrar los archivos de los sistemas atacados, el malware<\/em> interven\u00eda el sistema operativo para impedir su eliminaci\u00f3n. Tambi\u00e9n cifraba pr\u00e1cticamente todos los archivos del ordenador atacado, dejando \u00fanicamente los archivos cr\u00edticos del sistema operativo.<\/p>\n

Los autores del malware<\/em> ofrec\u00edan Fonix como un modelo de ransomware<\/em> como servicio (RaaS<\/a>, por sus siglas en ingl\u00e9s), con el que los clientes llevaban a cabo los ataques reales. Desde el verano del 2020, los foros de ciberdelincuentes se llenaron de anuncios sobre este malware<\/em>. En un principio, se ofrec\u00eda a los operadores usar la herramienta de forma gratuita, lo que conced\u00eda a Fonix cierta ventaja competitiva; los creadores se quedaban solamente con un porcentaje del pago del rescate.<\/p>\n

Por consiguiente, varias campa\u00f1as no relacionadas ayudaron al malware<\/em> a expandirse, generalmente a trav\u00e9s del env\u00edo de correos de spam<\/em>. Por lo tanto, Fonix afect\u00f3 tanto a usuarios individuales como a empresas. Por fortuna, el ransomware<\/em> no se extendi\u00f3 demasiado, as\u00ed que las v\u00edctimas fueron relativamente pocas.<\/p>\n

El cibercrimen dentro del cibercrimen<\/h2>\n

En su comunicado, el grupo Fonix anunci\u00f3 que no todos los miembros estaban de acuerdo con la decisi\u00f3n de finalizar la operaci\u00f3n. El administrador de su canal de Telegram, por ejemplo, est\u00e1 intentando vender el c\u00f3digo fuente del ransomware<\/em> y otros datos. Sin embargo, ese c\u00f3digo no es verdadero (al menos seg\u00fan la cuenta de Twitter del grupo Fonix), por lo que b\u00e1sicamente se trata de una estafa contra los compradores del malware<\/em>. Aunque las \u00fanicas v\u00edctimas potenciales aqu\u00ed son otros ciberdelincuentes, no deja de ser un fraude.<\/p>\n

Los motivos<\/h2>\n

El administrador del proyecto FonixCrypter afirm\u00f3 que \u00e9l nunca se hab\u00eda propuesto involucrarse en actividades criminales, pero el retroceso econ\u00f3mico le llev\u00f3 a crear el ransomware<\/em>. Posteriormente suprimi\u00f3 el c\u00f3digo fuente y, aduciendo el cargo de conciencia, se disculp\u00f3 con las v\u00edctimas y public\u00f3 la clave maestra. En el futuro, declar\u00f3, tiene pensado dar un mejor uso de sus conocimientos de an\u00e1lisis de malware<\/em> y espera que sus colegas le acompa\u00f1en en este nuevo prop\u00f3sito.<\/p>\n

C\u00f3mo protegerte del ransomware<\/em><\/h2>\n

Fonix ya no es un problema; sin embargo, otras versiones de ransomware<\/em> est\u00e1n m\u00e1s activas que nunca en el 2021. Nuestro consejo para permanecer seguro sigue siendo el mismo:<\/p>\n