先月末、ランサムウェア「Fonix」のグループが突然活動終了を宣言し、暗号化されたファイルを復号するためのマスター鍵を公開しました(リンク先はいずれも英語)。当社のエキスパート陣は、これを受けて復号ツール「Rakhni Decryptor」を直ちにアップデートし、Fonixに暗号化されたファイルにも対応するようにしました(RakhniDecryptor 1.27.0.0)。
Rakhni Decryptorは、NoRansom.kaspersky.comから無料でダウンロードできます。使用方法については、こちらをご参照ください。
このように、サイバー犯罪者がマルウェアのマスター鍵を公開する(または逮捕されてサーバーが差し押さえられ、マスター鍵が判明する)ことがあります。したがって、ランサムウェア被害に遭い、身代金を払わないと決めたとしても、暗号化されたファイルは廃棄せず取っておくことをお勧めします。どこかのタイミングでマスター鍵が手に入り、ファイルの復号ができるようになるかもしれません。
Fonixの活動
ランサムウェアFonixは別名を「Xinof」といい、このランサムウェアに暗号化されたファイルには「.fonix」または「.xinof」の拡張子が付きます。Fonixは、標的のシステム上でファイルを暗号化するだけでなく、削除されないようにOSに細工をします。また、標的のシステム上で、OSの動作に必要なファイル以外ほぼすべてのファイルを暗号化します。
Fonixの作者たちは、このマルウェアをRansomware-as-a-Service(サービスとしてのランサムウェア、RaaS)として貸し出し、攻撃に利用させていました。ハッカー向けのフォーラムでは2020年の夏ごろから、このマルウェアが盛んに宣伝されていました。初回利用が無料であることが、Fonixに競争上の優位性を与えていました。作者たちは、集まった身代金から一定の歩合を受け取るだけであったようです。
こうして、相互のつながりを持たないさまざまな活動によってFonixは拡散していきした。一般的なのはスパムメールに添付される形で、個人にも企業にも被害が生じました。幸いだったのは、そこまで広がらなかったために被害者が比較的少なかったことです。
サイバー犯罪者相手のサイバー犯罪
Twitterに投稿された活動終了宣言の中では、活動の停止がメンバー全員の合意の上ではないことが明かされています。その上で、FonixグループのTelegramチャネルの管理者がFonixのソースコードとその他データを売ろうとしているがこのコードは本物ではない、との記述がありました。詐欺の被害者予備軍が別のサイバー犯罪者であるとしても、詐欺は詐欺です。
動機
FonixCrypter Projectの管理者は、Twitterを通じ、犯罪に手を染めるつもりはなかったが経済の悪化からランサムウェアを作成するに至ったと述べています。この人物はランサムウェアのソースコードを削除し、良心の呵責に言及し、被害に遭った人々への謝罪と共にマスター鍵を公開しました。さらには、今後はマルウェア解析の知識を良き目的に活用していく、自分の仲間たちも加わってほしい、との意思を示しています。
ランサムウェアに感染しないために
こうして、Fonixに暗号化されたファイルは、元に戻せるようになりました。しかし、その他マルウェアの活動は2021年になってさらに活発化しています。改めて、感染しないための対策をお勧めします。
- メールの添付ファイルに気を付ける。
- 出所のはっきりしないファイルは実行しない。
- インターネット接続するデバイスは、家庭用も仕事用もすべて、セキュリティ製品をインストールして使用する。
- 重要なデータはすべてバックアップを取っておき、ネットワークに接続していないデバイスに保管する。
当社のセキュリティ製品は、個人向け製品も法人向け製品も、Fonix(およびその他ランサムウェア)を積極的に検知し、その活動をブロックします。