[URL=https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key/][B]После того как были слиты приватные ключи от FONIX[/B][/URL], злоумышленники применили тактические приемы маскировки FONIX под другие типы шифровальщиков.
FONIX может маскироваться под harma, eking и под RYUK.
[QUOTE]Сообщение >> - найдено 21 апреля 2021.
Расширение: .harma
Имитация под Dharma Ransomware.
Email:
[email protected],
[email protected]Файл проекта: C:\~Ransomware\Fonix - 4.3.2 - DharmaVersion\x64\Release\Fonix.pdbVT: C53F1932C9B1AEF9869B856ADB05F587 - непубличный образец[/QUOTE]
Возможно, один из вариантов FONIX, который был замаскирован под Phobos/eking
[QUOTE]7z1604-x64.exe.ID-50C4BDFF.[
[email protected]].eking
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Phobos.exe [2021-08-18] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.hta [2021-08-07] () [File not signed]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\info.txt [2021-08-07] () [File not signed]
2021-08-07 16:22 - 2021-08-07 16:22 - 000001436 _____ C:\Users\Administrator\AppData\Roaming\Data000.Phobos
2021-08-07 16:22 - 2021-08-07 16:22 - 000000194 _____ C:\Users\Administrator\AppData\Roaming\info.txt
2021-08-07 16:22 - 2021-08-07 16:22 - 000005333 _____ C:\Users\Administrator\AppData\Roaming\info.hta
2021-08-07 16:22 - 2021-08-07 16:22 - 000000160 _____ C:\Users\Administrator\AppData\Roaming\Data001.Phobos
2021-08-07 16:22 - 2021-08-07 16:22 - 000000008 _____ C:\Users\Administrator\AppData\Roaming\id.Phobos
[/QUOTE]
Data000.Phobos может быть аналогом CPriv.key (FONIX)
info.txt - Help.txt (FONIX)
info.hta - How To Decrypt Files.hta (FONIX)
Data001.Phobos - CPub.key (FONIX)
id.Phobos - SystemID (FONIX)
[QUOTE]Вариант от 24 августа 2021:
Сообщение >>
Расширение: .RYK
Записка: RyukReadMe.txt
Email:
[email protected],
[email protected]сэмпл:
https://www.virustotal.com/gui/file/5f91aa43d5c5d9202277ddde4d4125be780c0c5ad146604
804a618da8dfadf1e
Это не первый раз, когда Fonix выдает себя за другой Ransomware. [/QUOTE]
https://id-ransomware.blogspot.com/2020/06/fonixcrypter.html
update:
прописывается в автозапуск:
C:\PROGRAMDATA\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
C:\USERS\***\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\RYUK.EXE
"Скрытый" или "Системный" [типично для вирусов]
в задачи:
C:\WINDOWS\SYSTEM32\TASKS\RYK
C:\WINDOWS\SYSTEM32\TASKS\RYUK
Update1:
[B]Avast [URL=https://files.avast.com/files/decryptor/avast_decryptor_fonix.exe]выпустил обновление[/URL] для FONIX/RYUK[/B]
[B]текущая версия 1.0.0.537[/B]
[IMG WIDTH=575 HEIGHT=469]https://chklst.ru/uploads/editor/cz/ajfgscpkx3j1.jpg[/IMG]
известные недостатки:
ошибки при расшифровке zip файлов, возможно повреждены при шифровании
проблема с расшифровкой больших vhd - ошибка при шифровании
не смогли расшифровать зашифрованный архив *.tib размером 70Гб
пропуск зашифрованных файлов, если после шифрования файлы переименованы прописными буквами ryk - [B]исправлено![/B]
Пример:
Folder.jpg.[
[email protected]].ryk --- здесь будет достаточно вручную исправить расширение на RYK
update2:
известные почты с расшифровкой:
[email protected][email protected][email protected][email protected][email protected][email protected][email protected][email protected]update3:
Определенные группы файлов просто полностью испорчены вредоносной программой
краткое резюме:
* Any File [<300KB] = Good
* .zip [300KB - 2GB] = Unrecoverable
* .zip [2GB+] = Recoverable
* "Important" [300KB - 2GB] = Good
* "Important" [2GB+] = Unrecoverable
* Other File [300KB - 2GB] = Good
* Other File [2GB+] = Recoverable
С «Важными» расширениями, которые они вносят в белый список, например .MDF, .SQL, .VHD и т. д.
