{"id":26185,"date":"2021-02-08T16:57:20","date_gmt":"2021-02-08T14:57:20","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=26185"},"modified":"2021-02-10T12:22:01","modified_gmt":"2021-02-10T10:22:01","slug":"fonix-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/fonix-decryptor\/26185\/","title":{"rendered":"Kostenloses Dekryptor-Tool f\u00fcr Fonix-Ransomware"},"content":{"rendered":"

Als die Fonix-Malware-Familie pl\u00f6tzlich bekannt gab<\/a>, dass sie ihre Aktivit\u00e4ten eingestellt haben und den Masterkey ver\u00f6ffentlichten<\/a>, mit dem die durch Fonix verschl\u00fcsselten Dateien dechiffriert werden k\u00f6nnen, aktualisierten unsere Experten sofort das RakhniDecryptor-Tool, um den Prozess zu automatisieren. Das Entschl\u00fcsselungstool k\u00f6nnen Sie direkt hier herunterladen<\/a>.<\/p>\n

Der Fonix-Fall best\u00e4tigt erneut, dass Opfer von Ransomware, die nicht vorhaben das L\u00f6segeld zu zahlen (eine kluge Entscheidung), die verschl\u00fcsselten Dateien aufbewahren sollten. Nat\u00fcrlich bekommen nicht alle Cyberkriminelle ein schlechtes Gewissen und ver\u00f6ffentlichen ihre Schl\u00fcssel (oder werden erwischt und deren Server wird beschlagnahmt), aber es ist durchaus m\u00f6glich, dass die Schl\u00fcssel zu einem bestimmten Zeitpunkt \u00f6ffentlich gemacht werden und die Daten wiederhergestellt\u00a0werden k\u00f6nnen\u00a0\u2013\u00a0was allerdings nur geht, wenn die Daten auch aufbewahrt wurden.<\/p>\n

Das Gef\u00e4hrliche an Fonix<\/h2>\n

Die Fonix-Erpressungssoftware ist auch unter Xinof bekannt. Cyberverbrecher verwendeten beide Namen und die verschl\u00fcsselten Dateien wurden entweder mit der Erweiterung .xinof oder .fonix umbenannt. Analysten stuften die Ransomware als besonders aggressiv ein, denn die Malware verschl\u00fcsselt nicht nur die Dateien, sondern beeintr\u00e4chtigt auch das Betriebssystem, um den Opfern die M\u00f6glichkeit zu nehmen, ohne Beteiligung der Angreifer wieder auf die verschl\u00fcsselten Dateien zuzugreifen. Im Gegensatz zu anderer Ransomware verschl\u00fcsselt Fonix alle Dateien auf dem Computer mit Ausnahme kritischer Systemdateien.<\/p>\n

Ein weiterer Unterschied von Fonix ist, dass es sich um ein Ransomware-as-a-Service (RaaS<\/a>) handelt, der Cyberkriminellen erm\u00f6glicht die Erpressersoftware \u00fcber ein Abonnement zu nutzen, genau wie bei einem herk\u00f6mmlichen SaaS. Im Sommer 2020 wurde die Malware in Foren von Hackern stark beworben. Die Betreiber stellten die Software kostenlos zur Verf\u00fcgung, ein gro\u00dfer Wettbewerbsvorteil f\u00fcr Fonix, denn die Entwickler forderten nur einen Teil der kassierten Erpressungsgelder.<\/p>\n

So kam es zu einer schnellen Verbreitung der Ransomware durch verschiedene, nicht miteinander verbundene Kampagnen, die \u00fcberwiegend auf Spam-Mailings basierten. Daher fielen sowohl individuelle Benutzer als auch Unternehmen der Erpressersoftware zum Opfer. Gl\u00fccklicherweise genoss die Ransomware keine weitverbreitete Popularit\u00e4t und die Anzahl der Opfer hielt sich in Grenzen.<\/p>\n

Cyberkriminalit\u00e4t innerhalb der Cyberkriminalit\u00e4t<\/h2>\n

In der Bekanntmachung erkl\u00e4rte die Fonix-Gruppe, dass nicht alle Mitglieder mit der Einstellung der Aktivit\u00e4t einverstanden waren. Der Administrator des Telegram-Channels versuchte beispielsweise den Quellcode und andere Daten der Ransomware zu verkaufen. Allerdings besitzt er den echten Code gar nicht, (zumindest laut dem Twitter-Konto der Fonix-Gruppe), also besteht das Ziel dieses Angebots im Wesentlichen darin, Malware-K\u00e4ufer zu betr\u00fcgen. Auch wenn in diesem Fall die potenziellen Opfer selbst Cyberverbrecher sind, ist es trotzdem Betrug.<\/p>\n

Motivation<\/h2>\n

Laut dem Administrator des FonixCrypter-Projekts wollten sie das Produkt urspr\u00fcnglich \u00fcberhaupt nicht f\u00fcr kriminelle Aktivit\u00e4ten einzusetzen, aber die r\u00fcckl\u00e4ufigen Einnahmen wurden letztendlich zum Bewegungsgrund, eine Ransomware zu entwickeln. Sp\u00e4ter l\u00f6schte er den Quellcode, entschuldigte sich bei den Opfern\u00a0\u2013\u00a0laut Eigenangabe, weil ihn das schlechte Gewissen plagte\u00a0\u2013 und ver\u00f6ffentlichte den Masterkey. In der Zukunft m\u00f6chte er sein Wissen \u00fcber Malware-Analyse zu einem besseren Zweck verwenden und hofft, dass seine Kollegen sich dem neuen Vorhaben anschlie\u00dfen.<\/p>\n

Wie Sie sich vor Ransomware sch\u00fctzen k\u00f6nnen<\/h2>\n

Fonix stellt inzwischen keine Bedrohung mehr dar, aber andere Ransomware-Betreiber sind in 2021 aktiver denn je. Unsere Ratschl\u00e4ge zur Risikopr\u00e4vention sind dennoch so ziemlich die gleichen:<\/p>\n