前言
FONIX勒索软件首次出现在2020年6月,并迅速成为勒索即服务(RaaS)平台的一部分。尽管它最初的影响力有限,FONIX从2020年11月开始显著增加了攻击频率。FONIX以其复杂的加密方法著称,使用了AES、Salsa20、ChaCha和RSA等多种加密算法。这款勒索软件通过加密非关键系统文件,逐步引起了网络安全社区的关注。2021年1月,FONIX的运营团队宣布关闭勒索软件业务,并公开发布了解密主密钥,使得受害者可以免费解密他们的文件。FONIX团队声称,他们关闭项目是因为希望将能力用于更积极的方向。
特征
FONIX勒索软件感染系统后,会将受害者的文件加密,并附加“.FONIX”、“.XINOF”或“.repter”等扩展名。该勒索软件还会更改受感染系统的桌面背景,显示FONIX的标志。FONIX会生成一个勒索信,通常要求受害者支付比特币以获取解密密钥。尽管FONIX的加密机制复杂,但在其关闭操作后,发布的解密工具可以帮助受害者恢复加密的文件。不过,由于FONIX的变种众多,某些版本的解密可能仍然存在一定难度 。
工具使用说明
-
下载解密工具并将其保存在计算机中的某个位置
此工具适用于具有活动互联网连接的受感染计算机。
该工具至少能够解密勒索软件版本:4.4.x、4.3.x、4.2.x、3.x 这些版本使用 4 个加密层:RSA2048、RSA1024、ChaCha、Salsa
-
双击BDFONIXDecryptor.exe并通过在 UAC 警报上单击“是”来允许其运行。
-
选择“我同意”以接受最终用户许可协议。
注意:工具提示,对于当前的PC加密文件的扩展名应该是*.e392d905,请检查您是否有带有此扩展名的加密文件,否则将不会有文件被解密。
-
如果您想要搜索所有加密文件,选择“扫描整个系统”;或者只添加之前保存加密文件的路径。
我们强烈建议您在开始解密过程之前也选择“备份文件”,以防解密过程中发生任何不希望出现的情况。然后按下“启动工具”。
在此步骤结束时,您的文件应该已被解密。
如果您勾选了备份选项,您将看到加密文件和解密文件。您还可以在%temp%\BDRemovalTool文件夹中找到一个描述解密过程的日志。
要删除您剩余的加密文件,只需搜索匹配该扩展名的文件并进行批量删除。我们不建议您这样做,除非您再三确认您的文件可以安全打开,并且没有任何损坏的痕迹。
在某些情况下,勒索软件可能会错误地加密文件,导致解密无法正常工作,我们建议您在使用解密工具之前备份您的文件,如果您还没有从解密工具中勾选“备份文件”选项的话。
工具下载地址
solar专业应急响应团队公众号
回复关键字【FONIX】获取下载链接
