Fopra Ransomware
Cybersikkerhetsforskere har avdekket en annen skadelig malware-trussel som tilhører en etablert løsepenge-familie, Phobos Ransomware -familien. Selv om det er en annen variant, er trusselen sporet som Fopra Ransowmare potent nok, og dens ødeleggende potensial bør ikke undervurderes. Hvis den distribueres vellykket på de målrettede datamaskinene, vil Fopra aktivere krypteringsprosessen og etterlate nesten alle offerets dokumenter, PDF-er, arkiver, databaser, bilder osv. i en ubrukelig tilstand.
Hver låst fil vil få sitt navn endret drastisk. Berørte brukere vil legge merke til at filene deres nå har en ID-streng, en e-postadresse og en ny filtype som en del av navnene deres. E-posten som brukes av Fopra Ransomware er 'poshix@tfwno.gf', mens filtypen er '.fopra.' Når alle målrettede filtyper er kryptert, vil skadelig programvare opprette to filer på systemet - 'info.txt' og 'info.hta'. Disse filene inneholder løsepenger med instruksjoner fra nettkriminelle.
Meldingen som leveres i tekstfilen består hovedsakelig av metodene som ofre kan bruke for å kontakte operatørene av Fopra Ransomware. Foruten e-posten som finnes i navnene på de krypterte filene, nevner meldingen også to tilleggsadresser - 'rootma@cyberfear.com' og 'usupmail@webmeetme.com.' Alternativt kan brukere kontakte en representant for nettkriminelle via Wire messenger-appen.
Å lese hovedseddelen for løsepenger som vises som et popup-vindu, avslører at angriperne bare vil akseptere løsepenger som er gjort ved hjelp av Bitcoin-kryptovalutaen. De er også villige til å låse opp opptil 3 filer gratis som en demonstrasjon. De valgte filene må imidlertid ikke inneholde viktig informasjon og bør ha en total størrelse på mindre enn 4 MB.
Den fullstendige teksten til løsepengene er:
' Alle filene dine er kryptert!
' Alle filene dine er kryptert. Hvis du ønsker å gjenopprette dem, skriv til oss på e-post: poshix@tfwno.gf
Skriv denne ID-en i tittelen på meldingen -
For å øke sannsynligheten for å motta svar på forespørselen din, dupliser også brevene dine til følgende e-poster:rootma@cyberfear.com eller usupmail@webmeetme.com
For rask og praktisk tilbakemelding, skriv til nettoperatøren i Wire Messenger: zexor (Brukernavnet til Wire-kontoen må være nøyaktig det samme som ovenfor, pass opp for falske kontoer.)
Du må betale for dekryptering i Bitcoins. Prisen avhenger av hvor raskt du skriver til oss. Etter betaling vil vi sende deg verktøyet som vil dekryptere alle filene dine.Gratis dekryptering som garanti
Før du betaler kan du sende oss opptil 3 filer for gratis dekryptering. Den totale størrelsen på filene må være mindre enn 4 Mb (ikke arkivert), og filene skal ikke inneholde verdifull informasjon. (databaser, sikkerhetskopier, store excel-ark, etc.)Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Merk følgende!
For å få garantert hjelp til å dekryptere filene dine, vennligst kontakt kun kontaktene som er angitt i dette notatet, ellers er vi ikke ansvarlige for dekrypteringen!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, da dette kan føre til irreversibelt tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan øke prisen (de legger til gebyret sitt til vårt), eller du risikerer å tape penger uten å motta fildekryptering i retur.
!!! Når du kontakter tredjeparter, gir vi ingen garanti for dekryptering av filene dine !!!Instruksjonene levert som en tekstfil er:
!! Alle filene dine er kryptert!!!
For å dekryptere dem, send en e-post til denne adressen: poshix@tfwno.gf
For å øke sannsynligheten for å få svar på forespørselen din, dupliser også brevene dine til følgende e-poster:
rootma@cyberfear.com eller usupmail@webmeetme.com
For rask og praktisk tilbakemelding, skriv til nettoperatøren i Wire Messenger: @zexor
(Brukernavnet til Wire-kontoen må være nøyaktig det samme som ovenfor, vær oppmerksom på at alle kontoer som skiller seg med én bokstav er falske.)Merk følgende!
For å få garantert hjelp til å dekryptere filene dine, vennligst kontakt kun kontaktene som er angitt i dette notatet, ellers er vi ikke ansvarlige for dekrypteringen! '
