Το Fopra Ransomware είναι ένας νέος κλώνος Phobos

Μια νέα παραλλαγή της οικογένειας ransomware Phobos ανακαλύφθηκε πρόσφατα. Το νέο στέλεχος ονομάζεται Fopra ransomware.

Το Fopra δεν κάνει τίποτα ιδιαίτερα διαφορετικό σε σύγκριση με άλλους κλώνους Phobos. Κρυπτογραφεί αρχεία στο σύστημα του θύματος, αλλάζοντας τα ονόματα και τις επεκτάσεις τους.

Η Fopra προσαρτά τον κωδικό ταυτότητας του θύματος, το email επικοινωνίας που χρησιμοποιείται από τον κακό ηθοποιό πίσω από το ransomware και τη συμβολοσειρά ".fopra" στα κρυπτογραφημένα ονόματα των αρχείων. Αυτό θα μετατρέψει ένα αρχείο με το όνομα "image.jpg" σε "image.jpg.id[αλφαριθμητική συμβολοσειρά].[poshix@tfwno.gf].fopra".

Τα κρυπτογραφημένα αρχεία περιλαμβάνουν τους συνήθεις ύποπτους - επεκτάσεις εγγράφου, αρχείου, εγγράφων και βάσης δεδομένων και τύπους αρχείων.

Μόλις ολοκληρωθεί η κρυπτογράφηση, το ransomware Fopra ρίχνει τη σημείωση λύτρων του μέσα σε ένα ζευγάρι αρχείων που ονομάζονται "info.hta" και "info.txt", και τα δύο κατατίθενται στην επιφάνεια εργασίας.

Η έκδοση απλού κειμένου του σημειώματος λύτρων έχει ως εξής:

!! Όλα τα αρχεία σας είναι κρυπτογραφημένα!!!

Για να τα αποκρυπτογραφήσετε, στείλτε ένα email σε αυτή τη διεύθυνση: poshix at tfwno dot gf

Για να αυξήσετε την πιθανότητα να λάβετε απάντηση στο αίτημά σας, αντιγράψτε επίσης τις επιστολές σας στα ακόλουθα e-mail:

rootma@cyberfear.com ή usupmail στο webmeetme dot com

Για γρήγορη και βολική ανατροφοδότηση, γράψτε στον διαδικτυακό χειριστή στο Wire messenger: @zexor

(Το όνομα χρήστη του λογαριασμού Wire πρέπει να είναι ακριβώς το ίδιο με το παραπάνω, προσέχετε ότι τυχόν λογαριασμοί που διαφέρουν ακόμη και κατά ένα γράμμα είναι ψεύτικοι.)

Προσοχή!

Για να λάβετε εγγυημένη βοήθεια στην αποκρυπτογράφηση των αρχείων σας, επικοινωνήστε μόνο με τις επαφές που υποδεικνύονται σε αυτήν τη σημείωση, διαφορετικά δεν φέρουμε ευθύνη για την αποκρυπτογράφηση!