Kaspersky publie un nouvel outil de déchiffrement pour Fonix ransomware

Le 29 janvier dernier, les cybercriminels derrière le rançongiciel Fonix ont annoncé la fin de leurs activités et même publié une clé de déchiffrement permettant de récupérer les fichiers altérés par le logiciel. Cependant, ce n’est pas une manipulation à la portée de tous. La société de cybersécurité Kaspersky a donc mis à jour l’un de ses outils de déchiffrement pour permettre aux victimes de Fonix de récupérer plus facilement leurs fichiers.

Fonix : un rançongiciel qui rentre dans les rangs…

Egalement connu sous le nom de Xinof, le rançongiciel altérait les fichiers en les renommant avec l’extension .fonix ou .xinof. En plus de chiffrer les fichiers de sa victime, le logiciel était capable de manipuler certains éléments du système pour se protéger contre la suppression. Plutôt agressif, Fonix pouvait même chiffrer tous les fichiers d’un ordinateur en épargnant uniquement ceux permettant au système de fonctionner.

Le rançongiciel était distribué en tant que service à d’autres cybercriminels qui réalisaient eux-mêmes leurs attaques. Il a rapidement attiré les hackers sur les forums pirates car ses auteurs n’exigeaient qu’un pourcentage de la rançon perçue à chaque attaque. Fonix a touché à la fois des entreprises et des particuliers. Heureusement, ses victimes n’ont pas été nombreuses en comparaison à d’autres rançongiciels.

L’arroseur arrosé

Selon le compte Twitter de Fonix Group, des désaccords subsistent entre certains créateurs de Fonix. En effet, l’administrateur du canal Telegram du groupe tenterait de vendre le code source du rançongiciel. Le compte Twitter a tenu à préciser qu’il s’agissait d’une arnaque car le code présenté serait faux. En clair : des hackers tentent de vendre un faux ransomware à d’autres hackers.

Comme déchiffrer des fichiers altérés par Fonix ?

Si vous avez été une victime de Fonix ou que vous connaissez quelqu’un qui a été impacté par le rançongiciel, sachez que vous pouvez récupérer les fichiers altérés. Pour cela, il suffit de télécharger l’outil Rakhni Decryptor fourni par Kasperky.

Une fois le logiciel téléchargé, lancez un scan sur la machine infectée. Vous pouvez également sélectionner les dossiers affectés. L’outil se chargera ensuite de déchiffrer les fichiers.

Comment se protéger contre les rançongiciels ?

Si Fonix est officiellement hors-course, il existe d’autres campagnes malveillantes basées sur la diffusion de rançongiciels. Pour se prémunir contre ces dernières voici quelques conseils à mettre en pratique :

• Réaliser fréquemment des sauvegardes de ses fichiers les plus importants. Il est également recommandé de ne pas les stocker sur des machines connectées à son réseau.
• Se montrer vigilent face aux pièces jointes reçues, même lorsque leur expéditeur est un collègue de travail ou un proche. De nombreuses campagnes malveillantes ont recours à l’usurpation d’identité pour augmenter leur efficacité.
• Éviter de manipuler des fichiers dont on ne connaît pas la provenance.
• Se munir d’une solution de sécurité à jour.

Enfin, nous vous recommandons de ne jamais payer de rançon si vous êtes malheureusement victime d’une attaque et de conserver vos fichiers altérés après désinfection de votre système pour les déchiffrer lorsqu’un utilitaire dédié sera proposé.

Source : Kaspersky

Rédacteur

Nicolas JJE

Diplômé d’ingénierie en trading FIFA Ultimate Team avec le titre de FUT Specialist, fan de Dragon Ball, de culture jamaïcaine et de bidouille Android, je suis passé de mon OnePlus One à mon OnePlus 6 après 4 ans et demi de bons et loyaux services. Je m’intéresse un peu, beaucoup, passionnément à la cybersécurité et à la MAO.