Fopra Ransomware er en ny Phobos-klon

En ny variant af Phobos ransomware-familien blev opdaget for nylig. Den nye stamme kaldes Fopra ransomware.

Fopra gør ikke noget særligt anderledes sammenlignet med andre Phobos-kloner. Det krypterer filer på offersystemet og ændrer deres navne og udvidelser.

Fopra tilføjer ofrets ID-kode, kontakt-e-mailen brugt af den dårlige skuespiller bag ransomwaren og strengen ".fopra" til krypterede filers navne. Dette vil transformere en fil med navnet "image.jpg" til "image.jpg.id[alfanumerisk streng].[poshix@tfwno.gf].fopra".

Krypterede filer inkluderer de sædvanlige mistænkte - dokument-, arkiv-, dokument- og databaseudvidelser og filtyper.

Når krypteringen er fuldført, taber Fopra ransomware sin løsesum note i et par filer kaldet "info.hta" og "info.txt", begge deponeret på skrivebordet.

Den almindelige tekstversion af løsesumsedlen lyder som følger:

!! Alle dine filer er krypteret !!!

For at dekryptere dem, send en e-mail til denne adresse: poshix at tfwno dot gf

For at øge sandsynligheden for at modtage et svar på din anmodning, skal du også kopiere dine breve til følgende e-mails:

rootma@cyberfear.com eller usupmail på webmeetme dot com

For hurtig og praktisk feedback, skriv til onlineoperatøren i Wire Messenger: @zexor

(Brugernavnet på Wire-kontoen skal være nøjagtigt det samme som ovenfor, vær opmærksom på, at alle konti, der adskiller sig selv med et bogstav, er falske.)

Opmærksomhed!

For at få garanteret hjælp til at dekryptere dine filer, bedes du kun kontakte de kontakter, der er angivet i denne note, ellers er vi ikke ansvarlige for dekrypteringen!