روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ وقتی گروه باج‌افزاری Fonix به طور ناگهانی پایان فعالیت‌های خود را اعلام و برای رمزگشایی فایل‌های رمزگذاری‌شده «شاه کلید[1]» منتشر کرد، متخصصین ما فوراً ابزار Rakhni Decryptor را برای اتومات کردن پروسه آپدیت کردند. ماجرای Fonix بار دیگر نشان می‌دهد چرا حتی اگر قصد باج دادن هم ندارید (که تصمیم زیرکانه‌ایست) می‌بایست داده‌های رمزگذاری‌شده را سفت بچسبید. هر مجرم سایبری‌ای هم مثل گروه فونیکس توبه نمی‌کند و یک‌شبه تصمیم نمی‌گیرد شاه کلیدهای خود را رو کند (یا به ندرت پیش می‌آید دستگیر شود و سرورهایش نیز مصادره گردد)؛ اما اگر روزی به هر دلیلی به چنین شاهد کلیدهایی دسترسی داشتید می‌توانید از آن‌ها برای ریستور کردن دسترسی خود به اطلاعات‌تان استفاده کنید- اما باز هم می‌گوییم: فقط به شرط اینکه دو دستی اطلاعات خود را چسبیده باشید!

چرا Fonix خطرناک بود؟

باج‌افزار Fonix همچنین به Xinof نیز معروف بود؛ مجرمان سایبری از هر دو نام استفاده می‌کردند و فایل‌های رمزگذاری‌شده سپس یا با پسوند xinof. و یا fonix. تغییر می‌یافتند. تحلیلگران این باج‌افزار را نسبتاً «تهاجمی» توصیف کردند: این بدافزار علاوه بر رمزگذاری فایل‌ها روی سیستم‌های مورد هدف، برای کند کردن روش‌های حذف آن سیستم‌عامل را نیز دستکاری می‌کرد. همچنین عملاً همه‌ی فایل‌های روی کامپیوتر هدف را نیز رمزگذاری کرد و فقط آن‌هایی را که برای سیستم‌عامل مهم بودند باقی گذاشت. نویسندگان این بدافزار Fonix را تحت مدل RaaS[2] اجاره کردند و همین باعث شد تا کلاینت‌ها حملات واقعی انجام دهند. انجمن‌های هکری از تابستان 2020 شاهد تبلیغات سنگینی در خصوص این بدافزار بودند. در ابتدا به اپراتورها اجازه داده شد تا به طور رایگان از این ابزار استفاده کنند و همین به رقابتی شدن فضای فونیکس دامن زد؛ نویسندگان از هر باج جمع‌آوری‌شده‌ای درصد خود را برمی‌داشتند. در نتیجه، کلی کمپین مختلفِ غیرمتصل شکل گرفت که هر یک به شیوع این بدافزار کمک کرد (جالب است بدانید توزیع این بدافزار بیشتر از طریق ایمیل اسپم بود). بنابراین، Fonix هم کاربران را هر یک به طور جداگانه مورد هدف قرار داد و هم شرکت‌ها را. خوشبختانه، این باج‌افزار آنچنان هم که باید، محبوبیت بدست نیاورد؛ از این رو قربانیان تعدادشان نسبتاً کم است.

جرایم سایبری در دل جرایم سایبریِ دیگر

گروه  Fonix در اعلامیه خود اظهار داشت که همه اعضا هم با تصمیم قطع عملیات موافقت نکرده بودند. ادمین کانال تلگرامشان بعنوان مثال هنوز در تلاش است کد منبع و سایر داده‌ها را بفروشد. با این حال این کد واقعی نیست (دست‌کم بنابرگفته‌ی اکانت توییتر گروه Fonix)؛ بنابراین قطعاً این یک نقشه اسکم است که هدفش خریداران بدافزار می‌باشد.

انگیزه

به نقل از ادمین پروژه‌ی FonixCrypter: «من هرگز قصد نداشتم در چنین فعالیت مجرمانه‌ای شرکت کنم اما به دلیل مسائل اقتصادی مجبور به ساخت این باج‌افزار شدم». او بعدها منبع کد را پاک کرد و اظهار ندامت کرد. وی از قربانیان معذرت خواست و سپس شاه کلید را برایشان عرضه نمود. در ادامه او چنین گفت که قصد دارد دانش خود را صرف تحلیل بدافزار کند تا از این طریق شاید بتواند کمکی در راه کاهش تهدیدهای سایبری باشد. او امید دارد همکارانش نیز در این مسیر با او همگام شوند.

راهکارهای امنیتی

Fonix دیگر خطر ندارد؛ با این حال سایر رشته‌های باج‌افزاری همچنان دارند به فعالیت خود ادامه می‌دهند (حتی در سال 2021 از قبل فعال‌تر نیز شده‌اند). توصیه‌ می‌کنیم:

• حواستان به ایمیل‌هایی که با خود پیوست‌هایی دارند باشد.
• فایل‌هایی را که از منابع غیرمعتبر دریافت می‌کنید اجرا ننمایید.
• از راهکارهای امنیتی روی تمام دستگاه‌های خانه و محل کار خود –که به اینترنت دسترسی دارند- استفاده کنید.
• از همه داده‌های مهم خود بک‌آپ گرفته و آن‌ها را روی دستگاه‌هایی ذخیره کنید که به شبکه ‌اینترنتی‌تان وصل نباشند.

محصولات ما برای کاربران خانگی و کسب و کارها Fonix (و سایر باج‌افزارها) را شناسایی می‌کنند. افزون بر این، اسکنرهای فایل ما پیش از آنکه Fonix فرصتی برای اجرا شدن پیدا کند آن را شناسایی می‌کنند. مجدداً تکرار می‌کنیم: اگر قربانی باج‌افزار  Fonix بوده‌اید می‌توانید با ابزار RakhniDecryptor 1.27.0.0 ما که از سایت noransom.kaspersky.com قابل دسترسی و دانلود است داده‌های خود را بازیابی نمایید.

[1] Master key

[2]  ransomware-as-a-service

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.