{"id":16363,"date":"2021-02-05T14:08:05","date_gmt":"2021-02-05T14:08:05","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=16363"},"modified":"2021-02-05T14:08:05","modified_gmt":"2021-02-05T14:08:05","slug":"fonix-decryptor","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/fonix-decryptor\/16363\/","title":{"rendered":"Outil de d\u00e9chiffrement gratuit du ransomware Fonix"},"content":{"rendered":"

Lorsque le groupe du ransomware Fonix a soudainement annonc\u00e9<\/a> la fin de ses activit\u00e9s et a publi\u00e9 la cl\u00e9<\/a> qui permet de d\u00e9chiffrer tous les fichiers affect\u00e9s, nos experts ont imm\u00e9diatement mis \u00e0 jour l\u2019outil Rakhni Decryptor pour automatiser le processus. Cliquez ici<\/a> pour t\u00e9l\u00e9charger l\u2019outil en question.<\/p>\n

Le cas de Fonix illustre encore une fois pourquoi vous devriez vous accrocher aux donn\u00e9es chiffr\u00e9es m\u00eame si vous n\u2019envisagez pas de payer la ran\u00e7on (un choix judicieux). Certains cybercriminels n\u2019ont pas de remord et ne publient pas les cl\u00e9s de d\u00e9chiffrement (ou se font arr\u00eater suite \u00e0 quoi leurs serveurs sont confisqu\u00e9s), mais si les cl\u00e9s sont disponibles \u00e0 un moment donn\u00e9 alors vous pouvez vous en servir pour restaurer l\u2019acc\u00e8s \u00e0 vos donn\u00e9es, mais seulement si vous les conservez.<\/p>\n

Quels \u00e9taient les dangers de Fonix<\/h2>\n

Le ransomware Fonix \u00e9tait aussi connu comme Xinof. Les cybercriminels utilisaient les deux noms et les fichiers chiffr\u00e9s \u00e9taient renomm\u00e9s avec l\u2019extension .xinof ou .fonix. Les analystes ont d\u00e9crit le ransomware comme assez agressif. En plus de chiffrer les fichiers des syst\u00e8mes pris pour cible, le malware jouait avec le syst\u00e8me d\u2019exploitation pour entraver les efforts visant \u00e0 le supprimer. Il chiffrait presque tous les fichiers de l\u2019ordinateur et ne laissait que ceux n\u00e9cessaires au fonctionnement du syst\u00e8me d\u2019exploitation.<\/p>\n

Les auteurs du malware proposaient Fonix sur une plateforme RaaS<\/a> (ransomware-as-a-service<\/em>) et laissaient les clients perp\u00e9trer les attaques. C\u2019est au d\u00e9but de l\u2019\u00e9t\u00e9 2020 que le ransomware a fait l\u2019objet d\u2019une tr\u00e8s grande publicit\u00e9 sur les forums de cybercriminels. Les op\u00e9rateurs pouvaient utiliser gratuitement l\u2019outil, ce qui a donn\u00e9 un vrai avantage concurrentiel \u00e0 Fonix. Les auteurs ne prenaient qu\u2019un pourcentage sur les ran\u00e7ons pay\u00e9es par les victimes.<\/p>\n

Par cons\u00e9quent, plusieurs campagnes sans connexion ont aid\u00e9 \u00e0 la diffusion du malware, notamment via l\u2019envoi de spams en masse. C\u2019est ainsi que Fonix a pu atteindre les particuliers et les entreprises. Heureusement, la popularit\u00e9 du ransomware n\u2019a pas \u00e9t\u00e9 si importante et il n\u2019y a eu que quelques victimes.<\/p>\n

Cybercriminalit\u00e9 au sein de la cybercriminalit\u00e9<\/h2>\n

Lors de son annonce, le groupe Fonix a expliqu\u00e9 que certains membres n\u2019\u00e9taient pas d\u2019accord avec cette d\u00e9cision de mettre un terme \u00e0 l\u2019op\u00e9ration. L\u2019administrateur de leur cha\u00eene Telegram, par exemple, essaie de vendre le code source du ransomware et d\u2019autres donn\u00e9es. Pourtant, ce code n\u2019est pas r\u00e9el (du moins selon le compte Twitter du groupe Fonix) et il s\u2019agit tout simplement d\u2019une arnaque qui vise les acheteurs de malwares. M\u00eame si les victimes potentielles ne sont que des cybercriminels, une arnaque reste une arnaque.<\/p>\n

Motivation<\/h2>\n

L\u2019administrateur du projet FonixCrypter a expliqu\u00e9 qu\u2019il n\u2019avait jamais eu l\u2019intention de se livrer \u00e0 des activit\u00e9s criminelles mais que la crise \u00e9conomique l\u2019a oblig\u00e9 \u00e0 cr\u00e9er un ransomware. Il a ensuite supprim\u00e9 le code source et, se sentant coupable, s\u2019est excus\u00e9 aupr\u00e8s des victimes et a publi\u00e9 la cl\u00e9 de d\u00e9chiffrement. \u00c0 l\u2019avenir, il envisage d\u2019utiliser ses connaissances sur les malwares \u00e0 meilleur escient et esp\u00e8re que ses coll\u00e8gues feront de m\u00eame.<\/p>\n

Comment se prot\u00e9ger des ransomwares<\/h2>\n

Fonix n\u2019est plus un probl\u00e8me. Pourtant, d\u2019autres souches de ransomwares sont plus actives que jamais en 2021. Nos conseils pour ne pas prendre de risques sont toujours les m\u00eames\u00a0:<\/p>\n