FONIX ，一種新的勒索軟件即服務(wù)(RaaS)產(chǎn)品。

事實(shí)上，F(xiàn)ONIX于 2020 年 7 月才首次出現(xiàn)在威脅環(huán)境中，與這種威脅相關(guān)的感染數(shù)量仍然很少，但絕不能被輕易低估。

專家指出，該勒索軟件作者不要求威脅分發(fā)者支付任何費(fèi)用來加入其中，只需要拿走威脅分發(fā)者獲得的贖金的一定百分比。和許多其他當(dāng)前 RaaS 產(chǎn)品略有不同，F(xiàn)ONIX對(duì)每個(gè)文件采用四種加密方法，并且感染后解密周期過于復(fù)雜。

威脅分發(fā)者通過電子郵件與作者進(jìn)行通信，以獲得針對(duì)受害者的解密程序和密鑰。與之相對(duì)的，分發(fā)者會(huì)為作者保留25%贖金。

根據(jù)當(dāng)前情報(bào)，F(xiàn)ONIX關(guān)聯(lián)公司或者說威脅分發(fā)者一開始不會(huì)獲得解密程序或密鑰。正常情況下，在受害者通過電子郵件聯(lián)系威脅分發(fā)者后，威脅分發(fā)者受害者會(huì)要求受害者提供一些文件。其中包括兩個(gè)用于解密的小文件：一個(gè)是證明被加密的證據(jù)，另一個(gè)是來自受感染主機(jī)的文件"cpriv.key"。然后，威脅分發(fā)者會(huì)將這些文件發(fā)送給FONIX作者，作者解密文件后發(fā)送給受害者。當(dāng)受害者確信解密是可信的，分發(fā)者就會(huì)提供付款地址(BTC 錢包)。然后，受害者支付報(bào)酬，然后分發(fā)者會(huì)和FONIX 作者分成。

顯然，上述流程比大多數(shù) RaaS 服務(wù)更復(fù)雜，用戶友好程度也更低。

目前，F(xiàn)ONIX 勒索軟件僅針對(duì) Windows 系統(tǒng)，默認(rèn)情況下它加密所有文件類型，不包括關(guān)鍵的 Windows OS 文件。此外，該勒索軟件使用 AES、Chacha、RSA 和 Salsa20 的組合來加密受害者的文件，并且添加了一個(gè)XINOF 擴(kuò)展。這類多種加密協(xié)議使得加密過程比其他勒索軟件慢得多，而使用管理權(quán)限執(zhí)行有效負(fù)載后，將進(jìn)行以下系統(tǒng)更改：

• 禁用任務(wù)管理器
• 通過計(jì)劃任務(wù)、啟動(dòng)包含和注冊(cè)表(運(yùn)行和運(yùn)行一次)的文件夾實(shí)現(xiàn)持久性
• 修改系統(tǒng)文件權(quán)限
• 有效負(fù)載的持久副本將其歸因于隱藏
• 為持久性創(chuàng)建隱藏服務(wù)(Windows 10)
• 更改驅(qū)動(dòng)器/音量標(biāo)簽(更改為"XINOF")
• 刪除卷卷副本將(vssadmin，wmic)
• 系統(tǒng)恢復(fù)選項(xiàng)被操控 / 禁用( bcdedit )
• 安全引導(dǎo)選項(xiàng)被操控

FONIX 感染具有明顯攻擊性，即加密系統(tǒng)文件以外的所有內(nèi)容 ，并且一旦設(shè)備完全加密，就很難恢復(fù)。不過，目前FONIX似乎并沒有通過數(shù)據(jù)公開來威脅受害者。

參考來源：securityaffairs