Fopra Ransomware to nowy klon Phobos

Niedawno odkryto nowy wariant rodziny ransomware Phobos. Nowy szczep nazywa się ransomware Fopra.

Fopra nie robi nic szczególnego w porównaniu z innymi klonami Phobosa. Szyfruje pliki w systemie ofiary, zmieniając ich nazwy i rozszerzenia.

Fopra dołącza kod identyfikacyjny ofiary, kontaktowy adres e-mail używany przez złego aktora stojącego za oprogramowaniem ransomware oraz ciąg „.fopra” do zaszyfrowanych nazw plików. Spowoduje to przekształcenie pliku o nazwie „image.jpg” w „image.jpg.id[ciąg alfanumeryczny].[poshix@tfwno.gf].fopra”.

Zaszyfrowane pliki obejmują zwykle podejrzanych — rozszerzenia dokumentów, archiwów, dokumentów i baz danych oraz typy plików.

Po zakończeniu szyfrowania oprogramowanie ransomware Fopra umieszcza żądanie okupu w parze plików o nazwie „info.hta” i „info.txt”, które zostały zdeponowane na pulpicie.

Wersja zwykłego tekstu żądania okupu wygląda następująco:

!! Wszystkie twoje pliki są zaszyfrowane !!!

Aby je odszyfrować, wyślij e-mail na ten adres: poshix at tfwno dot gf

Aby zwiększyć prawdopodobieństwo otrzymania odpowiedzi na Twoją prośbę, zduplikuj również swoje listy na następujące e-maile:

rootma@cyberfear.com lub usupmail na webmeetme kropka com

Aby uzyskać szybką i wygodną informację zwrotną, napisz do operatora online w komunikatorze Wire: @zexor

(Nazwa użytkownika konta Wire musi być dokładnie taka sama jak powyżej, uważaj, wszystkie konta różniące się nawet jedną literą są fałszywe.)

Uwaga!

Aby uzyskać gwarantowaną pomoc w odszyfrowaniu plików, skontaktuj się tylko z kontaktami wskazanymi w tej notatce, w przeciwnym razie nie ponosimy odpowiedzialności za odszyfrowanie!