Fopra Ransomware

A kiberbiztonsági kutatók egy másik bántó malware-fenyegetést fedeztek fel, amely egy bevált ransomware családhoz, a Phobos Ransomware családhoz tartozik. Bár ez egy másik változat, a Fopra Ransowmare néven követett fenyegetés elég erős, és pusztító potenciálját nem szabad alábecsülni. Ha sikeresen telepítik a megcélzott számítógépekre, a Fopra aktiválja a titkosítási folyamatát, és az áldozat szinte minden dokumentumát, PDF-jét, archívumát, adatbázisát, fényképét stb. használhatatlan állapotban hagyja.

Minden zárolt fájl neve drasztikusan megváltozik. Az érintett felhasználók észreveszik, hogy fájljaik nevük részeként azonosító karakterláncot, e-mail címet és új fájlkiterjesztést tartalmaznak. A Fopra Ransomware által használt e-mail a „poshix@tfwno.gf”, a fájlkiterjesztés pedig „.fopra”. Ha az összes megcélzott fájltípus titkosításra került, a rosszindulatú program két fájlt hoz létre a rendszeren: „info.txt” és „info.hta”. Ezek a fájlok váltságdíj-jegyzeteket tartalmaznak a kiberbűnözők utasításaival.

A szöveges fájlban kézbesített üzenet főként azokat a módszereket tartalmazza, amelyek segítségével az áldozatok kapcsolatba léphetnek a Fopra Ransomware üzemeltetőivel. A titkosított fájlok nevében található e-mail-címen kívül az üzenet két további címet is említ: „rootma@cyberfear.com” és „usupmail@webmeetme.com”. Alternatív megoldásként a felhasználók a Wire Messenger alkalmazáson keresztül kapcsolatba léphetnek a kiberbűnözők képviselőjével.

A felugró ablakként megjelenő fő váltságdíj-jegyzet elolvasása után kiderül, hogy a támadók csak a Bitcoin kriptovalutával fizetett váltságdíjat fogadják el. Szintén hajlandóak akár 3 fájl zárolását ingyenesen feloldani bemutatóként. A kiválasztott fájlok azonban nem tartalmazhatnak semmilyen fontos információt, és teljes méretük nem haladhatja meg a 4 MB-ot.

A váltságdíj teljes szövege:

' Minden fájlod titkosítva lett!

' Minden fájlja titkosítva van. Ha vissza szeretné állítani őket, írjon nekünk e-mailben: poshix@tfwno.gf
Írja be ezt az azonosítót az üzenet címébe -
Annak érdekében, hogy növelje annak valószínűségét, hogy választ kap a kérésére, ismételje meg leveleit a következő e-mail-címekre:rootma@cyberfear.com vagy usupmail@webmeetme.com
A gyors és kényelmes visszajelzés érdekében írjon az online szolgáltatónak a Wire Messengerben: zexor (A Wire fiók felhasználónevének pontosan meg kell egyeznie a fentivel, vigyázzon a hamis fiókokra.)
A visszafejtésért Bitcoinban kell fizetni. Az ár attól függ, hogy milyen gyorsan ír nekünk. Fizetés után elküldjük Önnek az eszközt, amely visszafejti az összes fájlt.

Garanciaként ingyenes visszafejtés
Fizetés előtt legfeljebb 3 fájlt küldhet nekünk ingyenes visszafejtésre. A fájlok teljes méretének 4 Mb-nál kisebbnek kell lennie (nem archivált), és a fájlok nem tartalmazhatnak értékes információkat. (adatbázisok, biztonsági mentések, nagy excel lapok stb.)

Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Figyelem!
Ha garantáltan segítséget szeretne kapni a fájlok visszafejtéséhez, kérjük, csak a jelen megjegyzésben megadott elérhetőségeken vegye fel a kapcsolatot, ellenkező esetben nem vállalunk felelősséget a visszafejtésért!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez visszafordíthatatlan adatvesztéshez vezethet.
Fájlainak harmadik felek segítségével történő visszafejtése megnövelheti az árat (ők hozzáadják a díjukat a miénkhez), vagy pénzt veszíthet anélkül, hogy visszafejtést kapna cserébe.
!!! Harmadik féllel való kapcsolatfelvételkor nem vállalunk garanciát a fájlok visszafejtésére !!!

A szöveges fájlként szállított utasítások a következők:

!! Minden fájlod titkosítva van!!!
A visszafejtéshez küldjön egy e-mailt erre a címre: poshix@tfwno.gf
Annak érdekében, hogy növelje annak valószínűségét, hogy választ kap a kérésére, ismételje meg leveleit a következő e-mail-címekre:
rootma@cyberfear.com vagy usupmail@webmeetme.com
A gyors és kényelmes visszajelzésért írjon az online szolgáltatónak a Wire messengerben: @zexor
(A Wire fiók felhasználónevének pontosan meg kell egyeznie a fentivel, legyen óvatos, ha egy betűvel is eltér a fiók, az hamis.)

Figyelem!
Ha garantáltan segítséget szeretne kapni a fájlok visszafejtéséhez, kérjük, csak a jelen megjegyzésben megadott elérhetőségeken vegye fel a kapcsolatot, ellenkező esetben nem vállalunk felelősséget a visszafejtésért! '