FONIX,一种新的勒索软件即服务(RaaS)产品。事实上,FONIX直到2020年7月才首次出现在威胁格局中,与此威胁相关的感染数量仍然很低,但绝不能轻易低估。专家指出,勒索病毒作者不要求威胁传播者支付任何加入费用,只需要从威胁传播者收到的赎金中抽取一定比例即可。FONIX与当前许多其他RaaS产品略有不同,每个文件采用四种加密方法,并且感染后解密周期过于复杂。威胁传播者通过电子邮件与作者沟通,为受害者获取解密器和密钥。相比之下,分销商为作者保留了25%的赎金。根据目前的情报,FONIX附属机构或威胁分发者首先无法访问解密程序或密钥。通常情况下,受害者通过邮件联系威胁发布者后,威胁发布者受害者会要求受害者提供一些文件。其中包括两个用于解密的小文件:一个是它被加密的证明,另一个是来自受感染主机的文件“cpriv.key”。然后,威胁分发者将这些文件发送给FONIX作者,作者解密文件并将其发送给受害者。当受害者确信解密是真实的时,分发者提供付款地址(BTC钱包)。然后受害者付款,分销商与FONIX作者分享。显然,与大多数RaaS服务相比,上述过程更加复杂且用户友好性较低。目前,FONIX勒索软件仅针对Windows系统,默认情况下它会加密除关键Windows操作系统文件之外的所有文件类型。此外,勒索软件使用AES、Chacha、RSA和Salsa20的组合来加密受害者的文件并添加XINOF扩展名。这样的多重加密协议使得加密过程比其他勒索软件慢得多,并且在以管理权限执行payload后,系统发生了以下变化:通过计划任务、启动包含和注册表(运行并运行一次)禁用任务管理器文件夹实现系统文件权限的持久修改有效负载的持久副本将其隐藏为持久性创建隐藏服务(Windows10)更改驱动器/卷标(到“XINOF”)删除卷卷复制将(vssadmin,wmic)系统恢复选项是操纵/禁用(bcdedit)安全启动选项被操纵FONIX感染显然具有侵略性,即加密除系统文件以外的所有内容,一旦设备完全加密就很难恢复。不过,目前FONIX似乎并没有通过数据泄露来威胁受害者。参考来源:securityaffairs
