Fopra Ransomware è un nuovo clone di Phobos
Di recente è stata scoperta una nuova variante della famiglia di ransomware Phobos. Il nuovo ceppo si chiama Fopra ransomware.
Fopra non fa nulla di particolarmente diverso rispetto ad altri cloni Phobos. Crittografa i file sul sistema della vittima, modificandone i nomi e le estensioni.
Fopra aggiunge il codice ID della vittima, l'e-mail di contatto utilizzata dal malintenzionato dietro il ransomware e la stringa ".fopra" ai nomi dei file crittografati. Questo trasformerà un file chiamato "image.jpg" in "image.jpg.id[stringa alfanumerica].[poshix@tfwno.gf].fopra".
I file crittografati includono i soliti sospetti: documenti, archivi, estensioni di documenti e database e tipi di file.
Una volta completata la crittografia, il ransomware Fopra rilascia la richiesta di riscatto all'interno di una coppia di file chiamati "info.hta" e "info.txt", entrambi depositati sul desktop.
La versione in testo normale della richiesta di riscatto è la seguente:
!! Tutti i tuoi file sono crittografati !!!
Per decifrarli, invia un'e-mail a questo indirizzo: poshix at tfwno dot gf
Per aumentare le probabilità di ricevere una risposta alla tua richiesta, duplica anche le tue lettere alle seguenti e-mail:
rootma@cyberfear.com o usupmail su webmeetme dot com
Per un feedback rapido e conveniente, scrivi all'operatore online in Wire messenger: @zexor
(Il nome utente dell'account Wire deve essere esattamente lo stesso di cui sopra, fai attenzione che tutti gli account che differiscono anche di una lettera sono falsi.)
Attenzione!
Per ottenere assistenza garantita nella decifrazione dei tuoi file, contatta solo i contatti indicati in questa nota, altrimenti non siamo responsabili della decrittazione!