Fopra Ransomware

Raziskovalci kibernetske varnosti so odkrili še eno škodljivo grožnjo zlonamerne programske opreme, ki pripada uveljavljeni družini izsiljevalskih programov, družini Phobos Ransomware . Čeprav gre za drugo različico, je grožnja, ki jo spremljamo kot Fopra Ransowmare, dovolj močna in njenega uničevalnega potenciala ne smemo podcenjevati. Če bo Fopra uspešno nameščena na ciljnih računalnikih, bo aktivirala svoj proces šifriranja in pustila skoraj vse žrtvine dokumente, PDF-je, arhive, baze podatkov, fotografije itd., v neuporabnem stanju.

Ime vsake zaklenjene datoteke bo drastično spremenjeno. Prizadeti uporabniki bodo opazili, da imajo njihove datoteke zdaj ID niz, e-poštni naslov in novo pripono datoteke kot del imena. E-poštni naslov, ki ga uporablja izsiljevalska programska oprema Fopra, je »poshix@tfwno.gf«, pripona datoteke pa je ».fopra«. Ko so vse ciljne vrste datotek šifrirane, bo zlonamerna programska oprema v sistemu ustvarila dve datoteki - 'info.txt' in 'info.hta.' Te datoteke vsebujejo obvestila o odkupnini z navodili kibernetskih kriminalcev.

Sporočilo, poslano v besedilni datoteki, je v glavnem sestavljeno iz metod, ki jih lahko žrtve uporabijo za stik z operaterji izsiljevalske programske opreme Fopra. Poleg e-pošte, ki jo najdete v imenih šifriranih datotek, sporočilo omenja tudi dva dodatna naslova - 'rootma@cyberfear.com' in 'usupmail@webmeetme.com.' Lahko pa se uporabniki obrnejo na predstavnika kibernetskih kriminalcev prek aplikacije Wire messenger.

Branje glavne opombe o odkupnini, ki je prikazana kot pojavno okno, razkrije, da bodo napadalci sprejeli samo plačila odkupnine s kriptovaluto Bitcoin. Za predstavitev so pripravljeni tudi brezplačno odkleniti do 3 datoteke. Izbrane datoteke pa ne smejo vsebovati pomembnih informacij in morajo imeti skupno velikost manjšo od 4 MB.

Celotno besedilo obvestila o odkupnini je:

' Vse vaše datoteke so šifrirane!

' Vse vaše datoteke so bile šifrirane. Če jih želite obnoviti, nam pišite na e-mail: poshix@tfwno.gf
Vpišite ta ID v naslov vašega sporočila -
Da bi povečali verjetnost prejema odgovora na vašo zahtevo, podvojite svoja pisma tudi na naslednja e-poštna naslova:rootma@cyberfear.com ali usupmail@webmeetme.com
Za hitre in priročne povratne informacije pišite spletnemu operaterju v Wire messengerju: zexor (Uporabniško ime Wire računa mora biti popolnoma enako kot zgoraj, pazite se lažnih računov.)
Za dešifriranje morate plačati v bitcoinih. Cena je odvisna od tega, kako hitro nam pišete. Po plačilu vam bomo poslali orodje, ki bo dešifriralo vse vaše datoteke.

Brezplačno dešifriranje kot jamstvo
Pred plačilom nam lahko pošljete do 3 datoteke za brezplačno dešifriranje. Skupna velikost datotek mora biti manjša od 4Mb (nearhivirane), datoteke pa ne smejo vsebovati dragocenih informacij. (podatkovne baze, varnostne kopije, veliki excelovi listi itd.)

Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
hxxps://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Pozor!
Za zagotovljeno pomoč pri dešifriranju vaših datotek se obrnite samo na kontakte, navedene v tem obvestilu, sicer ne odgovarjamo za dešifriranje!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, saj lahko to povzroči nepopravljivo izgubo podatkov.
Dešifriranje datotek s pomočjo tretjih oseb lahko zviša ceno (prištejejo svojo pristojbino naši) ali pa tvegate izgubo denarja, ne da bi v zameno prejeli dešifriranje datotek.
!!! Pri stiku s tretjimi osebami ne jamčimo za dešifriranje vaših datotek !!!

Navodila, dostavljena kot besedilna datoteka, so:

!! Vse vaše datoteke so šifrirane !!!
Če jih želite dešifrirati, pošljite e-pošto na ta naslov: poshix@tfwno.gf
Da bi povečali verjetnost prejema odgovora na vašo zahtevo, podvojite svoja pisma tudi na naslednje e-poštne naslove:
rootma@cyberfear.com ali usupmail@webmeetme.com
Za hitre in priročne povratne informacije pišite spletnemu operaterju v Wire messengerju: @zexor
(Uporabniško ime računa Wire mora biti popolnoma enako kot zgoraj, bodite pozorni, da so vsi računi, ki se razlikujejo vsaj za eno črko, lažni.)

Pozor!
Za zagotovljeno pomoč pri dešifriranju vaših datotek se obrnite samo na kontakte, navedene v tem obvestilu, sicer ne odgovarjamo za dešifriranje! '