Security Affairsは2月1日(米国時間)、「Victims of FonixCrypter ransomware could decrypt their files for freeSecurity Affairs」において、ランサムウェア「FonixCrypter」のオペレーターが活動を停止し、復号ツールとマスター復号キーを公開したと伝えた。FonixCrypterの被害者は、公開された復号ツールを利用して金銭などの対価を払うことなくファイルを復元することができる。

FonixCrypterは、感染したPCに保存されているファイルを不正に暗号化してアクセスできなくするランサムウェア型のマルウェア。暗号化されたファイルには.REPTERや.FONIXなどの拡張子が付けられており、復号するための身代金の支払いを要求するテキストファイルが添えられる。FonixCrypterを使った活動は2020年6月頃から観測されており、いくつかの亜種も確認されている。

FonixCrypterのオペレーターもしくはオペレーターの関係者と思われる人物は、1月30日にTwitter上でFonixCrypterプロジェクトの終了を宣言し、マスター復号キーおよび復号ツールのサンプルの公開を宣言した。

  • FonixCrypterオペレーターによるTwitter投稿

    FonixCrypterオペレーターによるTwitterの投稿

  • FonixCrypterオペレーターによるTwitter投稿

    FonixCrypterオペレーターによるTwitterの投稿

Security Affairsによると、公開された復号ツールを使うことで、.Fonix、.FONIX、.repter、.XINOの拡張子を持つファイルの復号に成功したという。一方で、RARアーカイブのファイルはまだ復号できていないとのことだ。

マスター復号キーが公開されているため、これを利用すれば第三者が独自の復号ツールを開発することも可能である。FonixCrypterオペレーターによって公開された復号ツールについては、それ自身にバックドアが仕込まれていないという保証がないため、被害者はサードパーティのセキュリティベンダーから安全な復号ツールが提供されるのを待つことが推奨される。