Fopra Ransomware — новый клон Фобоса

Недавно был обнаружен новый вариант семейства программ-вымогателей Phobos. Новый штамм называется вымогателем Fopra.

Фопра ничем особенно не отличается от других клонов Фобоса. Он шифрует файлы в системе-жертве, меняя их имена и расширения.

Fopra добавляет идентификационный код жертвы, контактный адрес электронной почты, используемый злоумышленником, стоящим за программой-вымогателем, и строку «.fopra» к именам зашифрованных файлов. Это преобразует файл с именем "image.jpg" в "image.jpg.id[буквенно-цифровая строка].[poshix@tfwno.gf].fopra".

К зашифрованным файлам относятся обычные подозреваемые — документы, архивы, расширения документов и баз данных и типы файлов.

После завершения шифрования программа-вымогатель Fopra помещает записку с требованием выкупа в пару файлов с именами «info.hta» и «info.txt», которые хранятся на рабочем столе.

Текстовая версия записки о выкупе выглядит следующим образом:

!! Все ваши файлы зашифрованы!!!

Чтобы их расшифровать, отправьте электронное письмо на этот адрес: poshix at tfwno dot gf

Для увеличения вероятности получения ответа на ваш запрос также продублируйте свои письма на следующие электронные адреса:

rootma@cyberfear.com или usupmail на webmeetme точка com

Для быстрой и удобной обратной связи пишите онлайн оператору в мессенджере Wire: @zexor

(Имя пользователя учетной записи Wire должно быть точно таким же, как указано выше, будьте бдительны, любые учетные записи, которые отличаются даже на одну букву, являются подделками.)

Внимание!

Для получения гарантированной помощи в расшифровке ваших файлов обращайтесь только по указанным в данной заметке контактам, в противном случае мы не несем ответственности за расшифровку!