روابط عمومی شرکت ایدکو (توزیعکنندهی محصولات کسپرسکی در ایران)؛ وقتی گروه باجافزاری Fonix به طور ناگهانی پایان فعالیتهای خود را اعلام و برای رمزگشایی فایلهای رمزگذاریشده «شاه کلید[1]» منتشر کرد، متخصصین ما فوراً ابزار Rakhni Decryptor را برای اتومات کردن پروسه آپدیت کردند. ماجرای Fonix بار دیگر نشان میدهد چرا حتی اگر قصد باج دادن هم ندارید (که تصمیم زیرکانهایست) میبایست دادههای رمزگذاریشده را سفت بچسبید. هر مجرم سایبریای هم مثل گروه فونیکس توبه نمیکند و یکشبه تصمیم نمیگیرد شاه کلیدهای خود را رو کند (یا به ندرت پیش میآید دستگیر شود و سرورهایش نیز مصادره گردد)؛ اما اگر روزی به هر دلیلی به چنین شاهد کلیدهایی دسترسی داشتید میتوانید از آنها برای ریستور کردن دسترسی خود به اطلاعاتتان استفاده کنید- اما باز هم میگوییم: فقط به شرط اینکه دو دستی اطلاعات خود را چسبیده باشید!
چرا Fonix خطرناک بود؟
باجافزار Fonix همچنین به Xinof نیز معروف بود؛ مجرمان سایبری از هر دو نام استفاده میکردند و فایلهای رمزگذاریشده سپس یا با پسوند xinof. و یا fonix. تغییر مییافتند. تحلیلگران این باجافزار را نسبتاً «تهاجمی» توصیف کردند: این بدافزار علاوه بر رمزگذاری فایلها روی سیستمهای مورد هدف، برای کند کردن روشهای حذف آن سیستمعامل را نیز دستکاری میکرد. همچنین عملاً همهی فایلهای روی کامپیوتر هدف را نیز رمزگذاری کرد و فقط آنهایی را که برای سیستمعامل مهم بودند باقی گذاشت. نویسندگان این بدافزار Fonix را تحت مدل RaaS[2] اجاره کردند و همین باعث شد تا کلاینتها حملات واقعی انجام دهند. انجمنهای هکری از تابستان 2020 شاهد تبلیغات سنگینی در خصوص این بدافزار بودند. در ابتدا به اپراتورها اجازه داده شد تا به طور رایگان از این ابزار استفاده کنند و همین به رقابتی شدن فضای فونیکس دامن زد؛ نویسندگان از هر باج جمعآوریشدهای درصد خود را برمیداشتند. در نتیجه، کلی کمپین مختلفِ غیرمتصل شکل گرفت که هر یک به شیوع این بدافزار کمک کرد (جالب است بدانید توزیع این بدافزار بیشتر از طریق ایمیل اسپم بود). بنابراین، Fonix هم کاربران را هر یک به طور جداگانه مورد هدف قرار داد و هم شرکتها را. خوشبختانه، این باجافزار آنچنان هم که باید، محبوبیت بدست نیاورد؛ از این رو قربانیان تعدادشان نسبتاً کم است.
جرایم سایبری در دل جرایم سایبریِ دیگر
گروه Fonix در اعلامیه خود اظهار داشت که همه اعضا هم با تصمیم قطع عملیات موافقت نکرده بودند. ادمین کانال تلگرامشان بعنوان مثال هنوز در تلاش است کد منبع و سایر دادهها را بفروشد. با این حال این کد واقعی نیست (دستکم بنابرگفتهی اکانت توییتر گروه Fonix)؛ بنابراین قطعاً این یک نقشه اسکم است که هدفش خریداران بدافزار میباشد.
انگیزه
به نقل از ادمین پروژهی FonixCrypter: «من هرگز قصد نداشتم در چنین فعالیت مجرمانهای شرکت کنم اما به دلیل مسائل اقتصادی مجبور به ساخت چنین باجافزاری شدم». او بعدها منبع کد را پاک کرد و اظهار ندامت کرد. وی از قربانیان معذرت خواست و سپس شاه کلید را برایشان عرضه نمود. در ادامه او چنین گفت که قصد دارد دانش خود را صرف تحلیل بدافزار کند تا از این طریق شاید بتواند کمکی در راه کاهش تهدیدهای سایبری باشد. او امید دارد همکارانش نیز در این مسیر با او همگام شوند.
راهکارهای امنیتی
Fonix دیگر خطر ندارد؛ با این حال سایر رشتههای باجافزاری همچنان دارند به فعالیت خود ادامه میدهند (حتی در سال 2021 از قبل فعالتر نیز شدهاند). توصیه میکنیم:
- حواستان به ایمیلهایی که با خود پیوستهایی دارند باشد.
- فایلهایی را که از منابع غیرمعتبر دریافت میکنید اجرا ننمایید.
- از راهکارهای امنیتی روی تمام دستگاههای خانه و محل کار خود –که به اینترنت دسترسی دارند- استفاده کنید.
- از همه دادههای مهم خود بکآپ گرفته و آنها را روی دستگاههایی ذخیره کنید که به شبکه اینترنتیتان وصل نباشند.
محصولات ما برای کاربران خانگی و کسب و کارها Fonix (و سایر باجافزارها) را شناسایی میکنند. افزون بر این، اسکنرهای فایل ما پیش از آنکه Fonix فرصتی برای اجرا شدن پیدا کند آن را شناسایی میکنند. مجدداً تکرار میکنیم: اگر قربانی باجافزار Fonix بودهاید میتوانید با ابزار RakhniDecryptor 1.27.0.0 ما که از سایت noransom.kaspersky.com قابل دسترسی و دانلود است دادههای خود را بازیابی نمایید.
[1] Master key
[2] ransomware-as-a-service
منبع: کسپرسکی آنلاین (ایدکو)
کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.
