Fopra Ransomware

Kyberturvallisuustutkijat ovat paljastaneet toisen haitallisen haittaohjelmauhan, joka kuuluu vakiintuneeseen kiristysohjelmaperheeseen, Phobos Ransomware -perheeseen. Vaikka se on toinen muunnelma, Fopra Ransowmarena jäljitetty uhka on riittävän voimakas, eikä sen tuhoavaa potentiaalia pidä aliarvioida. Jos Fopra otetaan onnistuneesti käyttöön kohdetietokoneissa, se aktivoi salausprosessinsa ja jättää lähes kaikki uhrin asiakirjat, PDF-tiedostot, arkistot, tietokannat, valokuvat jne. käyttökelvottomiksi.

Jokaisen lukitun tiedoston nimi muuttuu dramaattisesti. Asianomaiset käyttäjät huomaavat, että heidän tiedostoissaan on nyt tunnusmerkkijono, sähköpostiosoite ja uusi tiedostopääte osana nimiään. Fopra Ransomwaren käyttämä sähköposti on "poshix@tfwno.gf", kun taas tiedostopääte on ".fopra". Kun kaikki kohdistetut tiedostotyypit on salattu, haittaohjelma luo järjestelmään kaksi tiedostoa - "info.txt" ja "info.hta". Nämä tiedostot sisältävät lunnaita koskevia muistiinpanoja, joissa on ohjeita verkkorikollisilta.

Tekstitiedostossa toimitettu viesti koostuu pääasiassa menetelmistä, joilla uhrit voivat ottaa yhteyttä Fopra Ransomwaren operaattoreihin. Salattujen tiedostojen nimistä löytyvän sähköpostin lisäksi viestissä mainitaan myös kaksi muuta osoitetta - "rootma@cyberfear.com" ja "usupmail@webmeetme.com". Vaihtoehtoisesti käyttäjät voivat ottaa yhteyttä kyberrikollisten edustajaan Wire Messenger -sovelluksen kautta.

Ponnahdusikkunana näkyvän päälunnasilmoituksen lukeminen paljastaa, että hyökkääjät hyväksyvät vain Bitcoinin kryptovaluutalla suoritetut lunnaat. He ovat myös valmiita avaamaan jopa 3 tiedostoa ilmaiseksi esittelynä. Valitut tiedostot eivät kuitenkaan saa sisältää tärkeitä tietoja, ja niiden kokonaiskoon tulee olla alle 4 Mt.

Lunnasilmoituksen koko teksti on:

' Kaikki tiedostosi on salattu!

Kaikki tiedostosi on salattu. Jos haluat palauttaa ne, kirjoita meille sähköpostitse: poshix@tfwno.gf
Kirjoita tämä tunnus viestisi otsikkoon -
Lisää todennäköisyyttä saada vastaus pyyntöösi myös kopioimalla kirjeesi seuraaviin sähköpostiin:rootma@cyberfear.com tai usupmail@webmeetme.com
Nopeaa ja kätevää palautetta varten kirjoita verkkooperaattorille Wire Messengerissä: zexor (Wire-tilin käyttäjätunnuksen on oltava täsmälleen sama kuin yllä, varo väärennettyjä tilejä.)
Sinun on maksettava salauksen purkamisesta Bitcoineilla. Hinta riippuu siitä, kuinka nopeasti kirjoitat meille. Maksun jälkeen lähetämme sinulle työkalun, joka purkaa kaikki tiedostosi.

Ilmainen salauksen purku takuuna
Ennen maksamista voit lähettää meille enintään 3 tiedostoa ilmaisen salauksen purkamiseksi. Tiedostojen kokonaiskoon tulee olla alle 4 Mt (ei arkistoitu), eivätkä tiedostot saa sisältää arvokasta tietoa. (tietokannat, varmuuskopiot, suuret excel-arkit jne.)

Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita Bitcoinien ostopaikkoja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Huomio!
Saadaksesi taattua apua tiedostojesi salauksen purkamiseen, ota yhteyttä vain tässä huomautuksessa mainittuihin yhteystietoihin, muuten emme ole vastuussa salauksen purkamisesta!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, koska tämä voi johtaa peruuttamattomaan tietojen menetykseen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi nostaa hintaa (he lisäävät maksunsa meidän maksuomme) tai voit menettää rahaa ilman, että saat vastineeksi tiedostojen salauksen purkua.
!!! Kun otat yhteyttä kolmansiin osapuoliin, emme anna takuuta tiedostojesi salauksen purkamisesta !!!

Tekstitiedostona toimitettavat ohjeet ovat:

!! Kaikki tiedostosi ovat salattuja!!!
Purkaa niiden salaus lähettämällä sähköpostia tähän osoitteeseen: poshix@tfwno.gf
Lisää todennäköisyyttä saada vastaus pyyntöösi kopioimalla kirjeet myös seuraaviin sähköpostiviesteihin:
rootma@cyberfear.com tai usupmail@webmeetme.com
Nopeaa ja kätevää palautetta saat kirjoittamalla verkkooperaattorille Wire Messengerissä: @zexor
(Wire-tilin käyttäjätunnuksen on oltava täsmälleen sama kuin yllä, ole valppaana tilit, jotka eroavat jopa yhdellä kirjaimella, ovat väärennettyjä.)

Huomio!
Saadaksesi taattua apua tiedostojesi salauksen purkamiseen, ota yhteyttä vain tässä huomautuksessa mainittuihin yhteystietoihin, muuten emme ole vastuussa salauksen purkamisesta! '