A Fopra Ransomware egy új Phobos klón

Nemrég fedezték fel a Phobos ransomware család új változatát. Az új törzs neve Fopra ransomware.

A Fopra semmiben sem különbözik a többi Phobos klóntól. Titkosítja a fájlokat az áldozat rendszerében, megváltoztatja a nevét és a kiterjesztését.

A Fopra hozzáfűzi az áldozat azonosító kódját, a ransomware mögött álló rossz színész által használt kapcsolatfelvételi e-mail-címet és a „.fopra” karakterláncot a titkosított fájlok nevéhez. Ez átalakítja az "image.jpg" nevű fájlt "image.jpg.id[alfanumerikus karakterlánc].[poshix@tfwno.gf].fopra"-ra.

A titkosított fájlok közé tartoznak a szokásos gyanúsítottak – dokumentum, archívum, dokumentum- és adatbázis-kiterjesztések és fájltípusok.

A titkosítás befejeztével a Fopra ransomware a váltságdíját az „info.hta” és „info.txt” nevű fájlpárba helyezi, mindkettő az asztalon van elhelyezve.

A váltságdíj egyszerű szöveges változata a következő:

!! Minden fájlod titkosítva van!!!

A visszafejtéshez küldjön egy e-mailt erre a címre: poshix at tfwno dot gf

Annak érdekében, hogy növelje annak valószínűségét, hogy választ kap a kérésére, ismételje meg leveleit a következő e-mail-címekre:

rootma@cyberfear.com vagy usupmail a webmeetme dot com címen

A gyors és kényelmes visszajelzésért írjon az online szolgáltatónak a Wire messengerben: @zexor

(A Wire fiók felhasználónevének pontosan meg kell egyeznie a fentivel, legyen óvatos, ha egy betűvel is eltér a fiók, az hamis.)

Figyelem!

Ha garantáltan segítséget szeretne kapni a fájlok visszafejtéséhez, kérjük, csak a jelen megjegyzésben megadott elérhetőségeken vegye fel a kapcsolatot, ellenkező esetben nem vállalunk felelősséget a visszafejtésért!