보안정보

글로벌 정보보안 리더 윈스

Fonix 랜섬웨어 종료 및 마스터 암호 해독키를 통한 해제

침해사고분석팀 2021.02.01

Fonix 랜섬웨어 운영자들은 운영을 중단하고 피해자들이 무료로 파일을 복구할 수 있도록 마스터 암호 해독을 해제했다.

 

Xinof 및 FonixCrypter라고도 알려진 Fonix 랜섬웨어는 2020년 6월 가동을 시작해 이후 꾸준히 암호화했다. 랜섬웨어는 REVIL, Netwalker, STOP 등과 같이 널리 사용되지는 않았지만, 2020년 11월부터는 아래의 ID 랜섬웨어 제출에서 알 수 있듯이 다소 활기를 띠었다.

 

ID Ransomware submission stats

[그림 1. ID 랜섬웨어 제출 통계]

 

오늘 오후, Fonix 랜섬웨어 관리자를 자처하는 트위터 사용자가 랜섬웨어가 종료됐다고 발표했다.

 

Tweet from Fonix admin

[그림2. Fonix 관리자의 트윗]

 

메시지에 따르면, 랜섬웨어 운영의 '멤버들' 중 일부는 랜섬웨어가 폐쇄되는 것을 달가워하지 않았다.

 

이러한 종료로 인해 회원은 다른 랜섬웨어 제휴 프로그램에 가입하거나 분리되어 새로운 작업을 만들 수 있다.

 

다른 트윗에서 Fonix 관리자는 암호 해독기와 마스터 개인 암호 해독 키를 모두 포함하는 'Fonix_decrypter.rar'라는 이름의 RAR 아카이브에 대한 링크를 공유했다.

 

Fonix Decryptor archive

[그림3. Fonix 암호 해독기 아카이브]

 

이 복호화 도구는 공격자가 파일을 쉽게 해독하는데 사용하는 암호 해독기가 아니라 랜섬웨어 조직이 내부적으로 사용하는 관리 도구이다.

 

대부분의 랜섬웨어 운영자들은 피해자들이 그들이 그렇게 할 수 있다는 것을 증명하기 위해 무료로 해독할 암호화된 파일 몇 개를 보낼 수 있게 한다.

 

대부분의 랜섬웨어 운영자들은 피해자의 암호화된 파일을 복호화할 수 있음을 증명하기 위해 무료로 몇 개의 파일을 복호화하여 전송한다.

 

공개된 암호 해독기는 이러한 무료 테스트 암호 해독을 수행할 때 Fonix Lansomware 운영자의 도구이며 피해자가 전체 컴퓨터의 암호를 해독하는 것을 허용하지 않는다.

 

[그림4. Fonix 랜섬웨어의 관리자 암호 해독기]

 

Michael Gillespie는 BleepingComputer에 마스터키가 작동하지만, 일부 Fonix 랜섬웨어 버전에서만 작동한다고 말했다.

 

그러나 Emisosft의 암호 해독기는 .Fonix, .FONIX, .repter, .XINOF 암호화된 파일 확장자를 포함하는 모든 버전의 랜섬웨어를 해독한다.

 

해독기가 언제 출시될지에 대한 ETA는 없지만 해당 랜섬웨어의 피해자라면 곧 해결책을 사용할 수 있을 것이다.

 

출처

https://www.bleepingcomputer.com/news/security/fonix-ransomware-shuts-down-and-releases-master-decryption-key/