FoNixCrYptEr XINOF a dry run for Agrius?

Treadstone 71 provided cyber SIGINT starting in September of 2020 warning of XINOF in five postings on this site. The Warning Intelligence was provided.

Fonix in their own words:

The ‘recent’ discovery and report on Agrius is possibly the enhanced and improved version of the FoNixCrYptEr XINOF ransomware/wiper package. Appearing back in June of 2020 with activity starting in July, FonixCrypter (XINOF R2) described unique features:

FonixCrypter (XINOF R2) Ransomware Phoenix ransomware in C ++ and assembly was designed by our team and we have already released two versions of it. unique features : * Implement creative methods and algorithms to strengthen cryptography, prevent reverse engineering and debug ransomware * Simultaneous execution of 3 symmetric cryptographic algorithms Salsa20, AES, Chacha and asymmetric RSA algorithm for the first time * Has several powerful methods to obscure code, strings, functions and libraries, program signatures, enterpoint * Activate Anti Debugger and Anti VM capabilities upon request * Has dedicated Virtualization Compile and Mutation Compile capabilities * Optimal use of CPU registers to improve ransomware performance * Rename system partitions Other features: * Use of two methods of symmetric and asymmetric encryption for secure encryption of files * High speed compared to other ransomware * Optimal use of system resources * HTA ransomware notifications General features: * Encrypt taped network drives * Clear Shadow Copy and Restore Point * Disable Task Manager and Windows Defender * Encrypt all extensions without exception And… #update #introduction #Fonix #FonixCrypter Phoenix Team – XINOF ransomware @FonixRansomware @XINOF

They targeted Israeli sites and described their methods while asking for support:

لیست ایمیل های پیشنهادی برای همکاری با ما

Tutanota ( tutamail)

Tutanota.com

( با وی پی ان آلمان اکانت بسازید)

کلاینت ادیت شده :

https://t.me/FonixRansomware/23

ویژگی ها

– بن شدن کم

– استفاده آسان ( وب میل، کلاینت موبایل و دسکتاپ)

– هاستینگ قدرتمند

criptext.com

کلاینت ادیت شده:

https://t.me/FonixRansomware/36

ویژگی ها :

– بن شدن کم

– استفاده راحت ( فقط کلاینت موبایل و دسکتاپ – بدون وب میل)

– سرویس قدرتمند

– ایمیل سرویس در نسخه beta است

Mailfence

mailfence.com

(برای ایجاد حساب از وی پی ان آلمان استفاده کنید.)

ویژگی ها

– بن شدن کم

– حساب رایگان فقط دسترسی از طریق وب میل است.

– هاستینگ قدرتمند

ProtonMail

ProtonMail.com

کلاینت ادیت شده :

https://t.me/FonixRansomware/22

ویژگی ها

– بن شدن زیاد

– استفاده آسان ( وب میل، کلاینت موبایل و دسکتاپ)

– هاستینگ قدرتمند

*پیشنهاد میشود از ایمیل سرویس های زیر برای ایمیل پشتیبان استفاده کنید.

Cock.li

Mail.cock.li

ویژگی ها :

– بن شدن کم

– استفاده راحت (وب میل ، SMTP، IMAP و POP3 )

– هاستینگ متوسط

– در مواقعی از دسترس خارج میشود

ایمیل سرویس های تست نشده :

msgsafe.io

disroot.org

xmpp.jp

soverin.net

startmail.com

mailbox.org

kolabnow.com

runbox.com

posteo.de

—————————————-

نحوه استفاده از ایمیل cock.li در برنامه های مدیریت #ایمیل (Gmail در موبایل برای مثال) و لیست پیشنهادی ایمیل سرویس ها

برای استفاده هرچه راحت تر از ایمیل سرویس cock.li، میتوانید با یوزر نیم پسوورد خود در برنامه های مدیریت ایمیل، ایمیل های خود را مدیریت کنید.

مثال ما روی برنامه gmail رو گوشی های اندرویدی است.

وارد برنامه شوید و از بالای صفحه روی آیکون دایره ای که عکس حساب شماست, بزنید.( این گزینه ممکن است در نسخه های مختلف برنامه متفاوت باشد)

گزینه Add another account را انتخاب کرده و سپس مورد آخر یعنی other را بزنید.

ایمیل خود را وارد کرده و در مرحله بعد نوع ایمیل سرویس را IMAP انتخاب کنید.

حالا پسوورد خود را وارد کرده و بقیه مراحل را Next بزنید.

در یک مرحله زمان چک شدن روی 15 دقیقه است. جیمیل زمان کمتر برای چک در اختیار شما نمیگزارد. برای چک کردن زودتر از 15 دقیقه میتوانید از برنامه های دیگر مدیریت ایمیل استفاده کنید.( aqua mail برای موبایل و Thunderbird mail برای ویندوز)

کار تمام است و ایمیل روی گوشی شما فعال است.

اگر به هر نحوی اطلاعت سرور به صورت اتوماتیک وارد نشد و یا قصد استفاده در جای دیگر داشتید، میتوانید از اطلاعات زیر برای استفاده از میل سرور استفاده کنید:

Username: ایمیل شما

Password: پسوورد ایمیل شما

Incoming Server: mail.cock.li

IMAP Port: 993

POP3 Port: 995

Outgoing Server: mail.cock.li

SMTP Port: 465

‌—————————————————

تیم فونیکس – باج افزار XINOF

@FonixRansomware

@XINOF

Although not a match in several areas, Agrius and XINOF follow the same methods of deception with ransomware with the intent of destruction by wiping.

The real wrinkle is the deception piece with respect to masking the wiper to appear as ransomware. All else seems standard methods. Iran has been using wipers since 2011-12 (Shamoon). The ruse here buys time for the wiping to take place while IR teams delay working the ransomware issue. The real deception is the psychological aspect – getting the victims to assume data is encrypted and working to restore from backup or pay the ransom while data is being destroyed. Think of the discussions, internal posturing, and senior leadership involvement delaying action while data is destroyed.

  • Is Agrius new? No
  • Is Agrius highly sophisticated? No

Treadstone 71 coverage of FoNixCrYptEr

Know that FonixCrypter did the same thing and were known to use Protonmail/VPN and Tutanota amongst other like tools. They were doing this nearly a year ago.

XINOF Ransomware V3 Released !!!

The third version of XINOF ransomware was released along with XINOF WIPER.

One of the most important features of this version that ransomware authors worked hard for is the increase and improvement of ransom paid by victims.

The most important features added in the third version are:

* Added 6-day timer to HTA file

* Added a dedicated wiper to the ransomware

* Increase ransomware speed

* Added multi-trading feature

* Change system background

* Continuous cryptography of C drive to prevent the installation of new programs

* Warning about the irreversibility of deleted files after 6 days in the HTA file

* Added SYSTEM ID to help files

Wiper ransomware features:

* Copy and delete part of the files after 4 days by Wiper

* Overwrite and delete all files after 6 days by Wiper

* MBR and Partition Table transcription after 6 days

* Powerful Wiper startup

#XINOF #Ransomware #Wiper #RaaS #Crypter #introduction #update

{FonixTeam Informations}

Mohammad Ramezani
Address: Iran, Mashad, Amirieh 37, Najafieh 18, Nika building, Unit 7.
Phones: +98 905 946 4617, +98 905 946 4618, +98 992 851 4772, +98 901 028 1155

Arshiya Hajilan
Address: Iran, Mazandaran, Ramsar, Beheshti St, Safa 5, No. 5.
Phones: +98 938 057 3697, +98 911 892 2338, +98 911 392 5803

AmirMohammad Shokrollahi
Phone: +98 939 865 3315

photo_10@06-02-2021_12-46-29_thumb

photo_11@06-02-2021_12-46-51_thumb

Fonix Decrypter

after entering password you can see the menu.
type 2 and hit enter. now enter Cpriv.key file address.

after that a file named Dec.key will be created. open it and remove version number and newlines.
now use 4 5 6 7 to decrypt your file.

4 for file under 300 kilobite .XINOF
5 for file more than 300 Kilobite .XINOF
6 for file with .FONIX extention
7 for zip file with .FONIX extention


Password: As22!5765

Hello I am one of the Phoenix team admins. Finally, we decided to stop bribing and move on to good work. The Phoenix project has been completely shut down and the ransomware source has been completely erased. A series of admins are against this. Like the Telegram channel admin trying to defraud by selling a fake source. The ransomware decryption and keys are included in the next file. Do not take the Phoenix output file from anyone under any circumstances. There is no source for sale. Beware of scam. If anyone still has not decrypted the email Xinof@cock.li Email us to script for free. Good luck – Team Phoenix


http://fonixsenfv7o5bqx.onion/

Fonix HiddenService SearchEngine
Designed by IranTor Team 😉

اولین موتور جستجوی دارک وب ایرانی ، فونیکس
طراحی شده توسط تیم ایران تور

تبلیغات و سفارشات :
IranTor@secmail.pro
@HungryBrain
@Vito_Corl3one

@IranTor_onion

Categories: Tags: , ,

1 Comment

Comments are closed.