Fopra Ransomware är en ny Phobos-klon

En ny variant av Phobos ransomware-familjen upptäcktes nyligen. Den nya stammen kallas Fopra ransomware.

Fopra gör inget särskilt annorlunda jämfört med andra Phobos-kloner. Den krypterar filer på offersystemet, ändrar deras namn och tillägg.

Fopra bifogar offrets ID-kod, kontaktmailen som användes av den dåliga skådespelaren bakom ransomware och strängen ".fopra" till krypterade filers namn. Detta kommer att omvandla en fil med namnet "image.jpg" till "image.jpg.id[alfanumerisk sträng].[poshix@tfwno.gf].fopra".

Krypterade filer inkluderar de vanliga misstänkta - dokument-, arkiv-, dokument- och databastillägg och filtyper.

När krypteringen är klar släpper Fopra ransomware sin lösennota i ett par filer som heter "info.hta" och "info.txt", båda deponerade på skrivbordet.

Den oformaterade versionen av lösennotan lyder som följer:

!! Alla dina filer är krypterade !!!

För att dekryptera dem, skicka ett e-postmeddelande till denna adress: poshix at tfwno dot gf

För att öka sannolikheten för att få svar på din förfrågan, duplicera även dina brev till följande e-postmeddelanden:

rootma@cyberfear.com eller usupmail på webmeetme dot com

För snabb och bekväm feedback, skriv till onlineoperatören i Wire Messenger: @zexor

(Användarnamnet för Wire-kontot måste vara exakt detsamma som ovan, var uppmärksam på att alla konton som skiljer sig med en bokstav är förfalskningar.)

Uppmärksamhet!

För att få garanterad hjälp med att dekryptera dina filer, vänligen kontakta endast de kontakter som anges i denna anteckning, annars är vi inte ansvariga för dekrypteringen!