Fopra Ransomware is een nieuwe Phobos-kloon
Onlangs is een nieuwe variant van de Phobos ransomware-familie ontdekt. De nieuwe soort wordt de Fopra-ransomware genoemd.
Fopra doet niets bijzonders anders dan andere Phobos-klonen. Het versleutelt bestanden op het slachtoffersysteem en verandert hun namen en extensies.
Fopra voegt de ID-code van het slachtoffer, het e-mailadres voor contact dat wordt gebruikt door de kwaadwillende achter de ransomware en de string ".fopra" toe aan de namen van de versleutelde bestanden. Dit zal een bestand met de naam "image.jpg" omzetten in "image.jpg.id[alfanumerieke string].[poshix@tfwno.gf].fopra".
Gecodeerde bestanden bevatten de gebruikelijke verdachten - document-, archief-, document- en database-extensies en bestandstypen.
Zodra de codering is voltooid, plaatst de Fopra-ransomware zijn losgeldbrief in een paar bestanden genaamd "info.hta" en "info.txt", beide op het bureaublad geplaatst.
De platte tekstversie van het losgeldbriefje gaat als volgt:
!! Al uw bestanden zijn versleuteld!!!
Om ze te decoderen, stuur een e-mail naar dit adres: poshix at tfwno dot gf
Om de kans op een reactie op uw verzoek te vergroten, kunt u uw brieven ook naar de volgende e-mails kopiëren:
rootma@cyberfear.com of usupmail op webmeetme dot com
Schrijf voor snelle en gemakkelijke feedback naar de online operator in de Wire Messenger: @zexor
(De gebruikersnaam van het Wire-account moet exact hetzelfde zijn als hierboven, wees waakzaam dat accounts die zelfs maar één letter verschillen, nep zijn.)
Aandacht!
Om gegarandeerde hulp te krijgen bij het decoderen van uw bestanden, gelieve alleen contact op te nemen met de contacten die in deze notitie worden vermeld, anders zijn wij niet verantwoordelijk voor de decodering!