Fopra Ransomware
Cybersikkerhedsforskere har afsløret en anden skadelig malwaretrussel, der tilhører en etableret ransomware-familie, Phobos Ransomware- familien. Selvom det er en anden variant, er truslen sporet som Fopra Ransowmare potent nok, og dens ødelæggende potentiale bør ikke undervurderes. Hvis den implementeres med succes på de målrettede computere, vil Fopra aktivere sin krypteringsproces og efterlade næsten alle ofrets dokumenter, PDF'er, arkiver, databaser, fotos osv. i en ubrugelig tilstand.
Hver låst fil vil få sit navn ændret drastisk. Berørte brugere vil bemærke, at deres filer nu bærer en ID-streng, en e-mailadresse og en ny filtypenavn som en del af deres navn. E-mailen brugt af Fopra Ransomware er 'poshix@tfwno.gf', mens filtypenavnet er '.fopra.' Når alle målrettede filtyper er blevet krypteret, vil malware oprette to filer på systemet - 'info.txt' og 'info.hta'. Disse filer indeholder løsesumsedler med instruktioner fra cyberkriminelle.
Beskeden leveret i tekstfilen består hovedsageligt af de metoder, som ofre kan bruge til at kontakte operatørerne af Fopra Ransomware. Udover den e-mail, der findes i navnene på de krypterede filer, nævner meddelelsen også to yderligere adresser - 'rootma@cyberfear.com' og 'usupmail@webmeetme.com.' Alternativt kan brugere kontakte en repræsentant for de cyberkriminelle via Wire messenger-appen.
At læse den primære løsesumseddel, der vises som et pop-up-vindue, afslører, at angriberne kun vil acceptere løsesumsbetalinger foretaget ved hjælp af Bitcoin-kryptovalutaen. De er også villige til at låse op til 3 filer gratis op som en demonstration. De valgte filer må dog ikke indeholde vigtige oplysninger og bør have en samlet størrelse på mindre end 4 MB.
Den fulde tekst af løsesumsedlen er:
' Alle dine filer er blevet krypteret!
' Alle dine filer er blevet krypteret. Hvis du vil gendanne dem, så skriv til os på e-mail: poshix@tfwno.gf
Skriv dette ID i titlen på din besked -
For at øge sandsynligheden for at modtage et svar på din anmodning skal du også kopiere dine breve til følgende e-mails:rootma@cyberfear.com eller usupmail@webmeetme.com
For hurtig og praktisk feedback, skriv til onlineoperatøren i Wire messenger: zexor (Brugernavnet på Wire-kontoen skal være nøjagtigt det samme som ovenfor, pas på falske konti.)
Du skal betale for dekryptering i Bitcoins. Prisen afhænger af, hvor hurtigt du skriver til os. Efter betaling sender vi dig værktøjet, der dekrypterer alle dine filer.Gratis dekryptering som garanti
Før du betaler, kan du sende os op til 3 filer til gratis dekryptering. Den samlede størrelse af filer skal være mindre end 4 Mb (ikke arkiveret), og filer bør ikke indeholde værdifuld information. (databaser, sikkerhedskopier, store excel-ark osv.)Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Opmærksomhed!
For at få garanteret hjælp til at dekryptere dine filer, skal du kun kontakte de kontakter, der er angivet i denne note, ellers er vi ikke ansvarlige for dekrypteringen!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, da dette kan resultere i irreversibelt datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan øge prisen (de tilføjer deres gebyr til vores), eller du risikerer at tabe penge uden at modtage fildekryptering til gengæld.
!!! Når vi kontakter tredjeparter, giver vi ingen garanti for dekryptering af dine filer !!!Instruktionerne leveret som en tekstfil er:
!! Alle dine filer er krypteret !!!
For at dekryptere dem, send en e-mail til denne adresse: poshix@tfwno.gf
For at øge sandsynligheden for at modtage et svar på din anmodning, skal du også kopiere dine breve til følgende e-mails:
rootma@cyberfear.com eller usupmail@webmeetme.com
For hurtig og praktisk feedback, skriv til onlineoperatøren i Wire Messenger: @zexor
(Brugernavnet på Wire-kontoen skal være nøjagtigt det samme som ovenfor, vær opmærksom på, at alle konti, der adskiller sig selv med et bogstav, er falske.)Opmærksomhed!
For at få garanteret hjælp til at dekryptere dine filer, skal du kun kontakte de kontakter, der er angivet i denne note, ellers er vi ikke ansvarlige for dekrypteringen! '
