A Fopra Ransomware egy új Phobos klón
Nemrég fedezték fel a Phobos ransomware család új változatát. Az új törzs neve Fopra ransomware.
A Fopra semmiben sem különbözik a többi Phobos klóntól. Titkosítja a fájlokat az áldozat rendszerében, megváltoztatja a nevét és a kiterjesztését.
A Fopra hozzáfűzi az áldozat azonosító kódját, a ransomware mögött álló rossz színész által használt kapcsolatfelvételi e-mail-címet és a „.fopra” karakterláncot a titkosított fájlok nevéhez. Ez átalakítja az "image.jpg" nevű fájlt "image.jpg.id[alfanumerikus karakterlánc].[poshix@tfwno.gf].fopra"-ra.
A titkosított fájlok közé tartoznak a szokásos gyanúsítottak – dokumentum, archívum, dokumentum- és adatbázis-kiterjesztések és fájltípusok.
A titkosítás befejeztével a Fopra ransomware a váltságdíját az „info.hta” és „info.txt” nevű fájlpárba helyezi, mindkettő az asztalon van elhelyezve.
A váltságdíj egyszerű szöveges változata a következő:
!! Minden fájlod titkosítva van!!!
A visszafejtéshez küldjön egy e-mailt erre a címre: poshix at tfwno dot gf
Annak érdekében, hogy növelje annak valószínűségét, hogy választ kap a kérésére, ismételje meg leveleit a következő e-mail-címekre:
rootma@cyberfear.com vagy usupmail a webmeetme dot com címen
A gyors és kényelmes visszajelzésért írjon az online szolgáltatónak a Wire messengerben: @zexor
(A Wire fiók felhasználónevének pontosan meg kell egyeznie a fentivel, legyen óvatos, ha egy betűvel is eltér a fiók, az hamis.)
Figyelem!
Ha garantáltan segítséget szeretne kapni a fájlok visszafejtéséhez, kérjük, csak a jelen megjegyzésben megadott elérhetőségeken vegye fel a kapcsolatot, ellenkező esetben nem vállalunk felelősséget a visszafejtésért!