FonixCrypter zieht sich zurück

Die Cybercrime-Gruppe, die hinter der Ransomware FonixCrypter steckt, hat heute auf Twitter bekannt gegeben, dass sie den Quellcode der Ransomware gelöscht hat und plant, ihren Betrieb einzustellen. Als Geste des guten Willens gegenüber früheren Opfern hat die FonixCrypter-Bande außerdem ein Paket mit einem Entschlüsselungs-Tool, einer Anleitung und dem Master-Entschlüsselungsschlüssel der Ransomware veröffentlicht.

Diese Dateien können von ehemals infizierten Anwendern verwendet werden, um ihre Dateien kostenlos zu entschlüsseln und wiederherzustellen, ohne dass sie für einen Entschlüsselungsschlüssel bezahlen müssen.

Allan Liska, ein Sicherheitsforscher des Bedrohungsforschungsunternehmens Recorded Future, hat den Entschlüsseler auf Anfrage von ZDNet heute getestet und festgestellt, dass die FonixCrypter-App, die Anweisungen und der Hauptschlüssel wie angekündigt funktionieren.

„Der Entschlüsselungsschlüssel, der von den Akteuren hinter der Fonix-Ransomware zur Verfügung gestellt wurde, scheint legitim zu sein , denn er erfordert, dass jede Datei einzeln entschlüsselt wird“, so Liska gegenüber ZDNet. Das Wichtigste ist, dass sie den Hauptschlüssel mitgeliefert haben, der es jemandem ermöglichen sollte, ein viel besseres Entschlüsselungswerkzeug zu bauen“, fügte er hinzu.

Ein besserer Entschlüsseler ist derzeit bei Emsisoft in Arbeit und wird voraussichtlich nächste Woche veröffentlicht, so Michael Gillespie, ein Emsisoft-Sicherheitsforscher, der sich auf das Decodieren von Ransomware-Verschlüsselungen spezialisiert hat. Anwendern wird geraten, auf den Emsisoft-Entschlüsseler zu warten, anstatt den von der FonixCrypter-Bande bereitgestellten zu verwenden, der leicht andere Malware, wie z.B. Backdoors, enthalten kann, die die Opfer am Ende auf ihren Systemen installieren könnten.

Bevor die FonixCrypter-Ransomware-Gang heute stillgelegt wurde, war sie mindestens seit Juni 2020 aktiv, so Andrew Ivanov, ein russischer Sicherheitsforscher, der in den letzten vier Jahren Ransomware-Stämme in seinem persönlichen Blog verfolgt hat. Ivanovs FonixCrypter-Blogeintrag zeigt eine Geschichte ständiger Updates des FonixCrypt-Codes, wobei im letzten Jahr mindestens sieben verschiedene FonixCrypt-Varianten veröffentlicht wurden.

Auch wenn der Quellcode der Ransomware vielleicht nicht erstklassig war, funktionierte die Ransomware und wurde im letzten Jahr in der freien Wildbahn eingesetzt und forderte Opfer auf der ganzen Welt.

Derzeit deuten alle Anzeichen darauf hin, dass die FonixCrypter-Bande es ernst meint mit ihren Plänen, den Betrieb einzustellen. Liska sagte, dass die FonixCrypter-Bande heute ihren Telegram-Kanal entfernt hat, auf dem sie normalerweise die Ransomware für andere kriminelle Gruppen beworben hat. Der Analyst von Recorded Future wies aber auch darauf hin, dass die Gruppe auch Pläne angekündigt hat, in naher Zukunft einen neuen Kanal zu eröffnen.

Die FonixCrypter-Bande gab jedoch nicht an, ob sich dieser neue Telegram-Kanal auf die Bereitstellung eines neuen und verbesserten Ransomware-Stammes konzentrieren wird. Laut einer auf Twitter geposteten Nachricht behauptet die Gruppe, sie wolle sich von Ransomware wegbewegen und ihre Fähigkeiten auf „positive Weise“ nutzen. Was auch immer das bedeutet.