勒索软件团伙决定打包离开他们的犯罪生活并不新鲜,但这确实是罕见的事情。

Fonix勒索软件(也被称为FonixCrypter和Xinof)就是其中之一ransomware-as-a-service(老城)上市公司是最新加入这个俱乐部的公司。

FONIX首次在2020年代中期观察,但它只开始转向当年9月至10月。据信是伊朗的起源,已知使用四种加密方法 -AES,Salsa20,Chacha和RSA - 但由于它加密所有非关键系统文件,而且与其他RAA产品相比慢。

加密文件通常带有.FONIX.Xinof.文件扩展名;然而,。重点扩展也被使用。受影响系统的“桌面”壁纸被修改为“Fonix”logo。

向受害者展示的FONIX Ransomware票据的变体(由恶意软件智能分析师提供马塞洛Rivero

宣布终止Fonix的那个账号后来在推特上发表了道歉声明:

并承诺“弥补我们的错误”:

该承诺以解密所需的主解密密钥的形式出现.FONIX.Xinof.文件和一个管理工具,它一次只能解密一个文件。谨慎的读者可能希望等待更多合法组织编写的更有用的解密工具,然后再相信已知的网络罪犯发布的代码。

这不是第一次赎金软件集团展示了良知 - 这是假设我们将他们的单词继续“以积极的方式使用我们的能力”。2018年,Gandcrab赎金软件的开发人员,另一个raas还向2019年中期关闭其业务的公开宣布,使掉头和公布了叙利亚所有受害者的解密密钥一名叙利亚父亲在推特上恳求他们。GandCrab感染了他的系统,并加密了他两个儿子在战争期间拍摄的照片。

2016年,当Teslacrypt.当他离开RaaS现场时,一名安全研究员找到了它的开发人员,问他们是否会释放加密密钥。他们确实免费释放了帮助解密受影响系统的主密钥。

凤凰帮是否会信守诺言还有待观察。如果他们中的一些人或所有人改变了主意,回到犯罪的生活中,他们不会是第一个这样做的勒索软件团伙。任何勒索软件组织撤退都是好消息。然而,虽然Fonix似乎已经离开了大楼,但它只是庞大的犯罪生态系统中的一个小角色。勒索软件的威胁依然存在。