Fopra Ransomware ist ein neuer Phobos-Klon

Kürzlich wurde eine neue Variante der Phobos-Ransomware-Familie entdeckt. Der neue Stamm heißt Fopra-Ransomware.

Fopra unterscheidet sich nicht besonders von anderen Phobos-Klonen. Es verschlüsselt Dateien auf dem Opfersystem und ändert ihre Namen und Erweiterungen.

Fopra hängt den ID-Code des Opfers, die Kontakt-E-Mail-Adresse des Angreifers hinter der Ransomware und die Zeichenfolge „.fopra“ an die verschlüsselten Dateinamen an. Dadurch wird eine Datei mit dem Namen „image.jpg“ in „image.jpg.id[alphanumerische Zeichenfolge].[poshix@tfwno.gf].fopra“ umgewandelt.

Verschlüsselte Dateien beinhalten die üblichen Verdächtigen – Dokument, Archiv, Dokument- und Datenbankerweiterungen und Dateitypen.

Sobald die Verschlüsselung abgeschlossen ist, legt die Fopra-Ransomware ihre Lösegeldforderung in zwei Dateien mit den Namen „info.hta“ und „info.txt“ ab, die beide auf dem Desktop hinterlegt sind.

Die Klartextversion der Lösegeldforderung lautet wie folgt:

!! Alle Ihre Dateien sind verschlüsselt !!!

Um sie zu entschlüsseln, senden Sie eine E-Mail an diese Adresse: poshix at tfwno dot gf

Um die Wahrscheinlichkeit zu erhöhen, eine Antwort auf Ihre Anfrage zu erhalten, kopieren Sie Ihre Briefe auch an die folgenden E-Mails:

rootma@cyberfear.com oder usupmail unter webmeetme dot com

Für schnelles und bequemes Feedback schreiben Sie an den Online-Operator im Wire Messenger: @zexor

(Der Benutzername des Wire-Kontos muss genau derselbe wie oben sein, seien Sie wachsam, alle Konten, die sich auch nur um einen Buchstaben unterscheiden, sind Fälschungen.)

Aufmerksamkeit!

Um garantierte Unterstützung bei der Entschlüsselung Ihrer Dateien zu erhalten, wenden Sie sich bitte ausschließlich an die in diesem Hinweis angegebenen Kontakte, ansonsten sind wir nicht für die Entschlüsselung verantwortlich!