Fopra Ransomware est un nouveau clone de Phobos

Une nouvelle variante de la famille de rançongiciels Phobos a été découverte récemment. La nouvelle souche s'appelle le rançongiciel Fopra.

Fopra ne fait rien de particulièrement différent par rapport aux autres clones de Phobos. Il crypte les fichiers sur le système victime, en modifiant leurs noms et extensions.

Fopra ajoute le code d'identification de la victime, l'e-mail de contact utilisé par le mauvais acteur derrière le ransomware et la chaîne ".fopra" aux noms des fichiers cryptés. Cela transformera un fichier nommé "image.jpg" en "image.jpg.id[chaîne alphanumérique].[poshix@tfwno.gf].fopra".

Les fichiers cryptés incluent les suspects habituels - extensions de document, d'archive, de document et de base de données et types de fichiers.

Une fois le cryptage terminé, le rançongiciel Fopra dépose sa note de rançon dans une paire de fichiers appelés "info.hta" et "info.txt", tous deux déposés sur le bureau.

La version en texte brut de la note de rançon se présente comme suit :

!! Tous vos fichiers sont cryptés !!!

Pour les décrypter, envoyez un mail à cette adresse : poshix at tfwno point gf

Pour augmenter la probabilité de recevoir une réponse à votre demande, dupliquez également vos courriers aux e-mails suivants :

rootma@cyberfear.com ou usupmail à webmeetme point com

Pour des commentaires rapides et pratiques, écrivez à l'opérateur en ligne dans le messager Wire : @zexor

(Le nom d'utilisateur du compte Wire doit être exactement le même que ci-dessus, soyez vigilant, tous les comptes qui diffèrent ne serait-ce que d'une lettre sont des faux.)

Attention!

Pour obtenir une assistance garantie dans le décryptage de vos fichiers, veuillez contacter uniquement les contacts indiqués dans cette note, sinon, nous ne sommes pas responsables du décryptage !