Fopra Ransomware

Siber güvenlik araştırmacıları, yerleşik bir fidye yazılımı ailesi olan Phobos Ransomware ailesine ait başka bir zararlı kötü amaçlı yazılım tehdidini ortaya çıkardı. Başka bir varyant olmasına rağmen, Fopra Ransowmare olarak izlenen tehdit yeterince güçlü ve yıkıcı potansiyeli hafife alınmamalıdır. Fopra, hedeflenen bilgisayarlara başarıyla dağıtılırsa şifreleme sürecini etkinleştirecek ve kurbanın neredeyse tüm belgelerini, PDF'lerini, arşivlerini, veritabanlarını, fotoğraflarını vb. kullanılamaz durumda bırakacaktır.

Kilitli her dosyanın adı büyük ölçüde değişecektir. Etkilenen kullanıcılar, dosyalarının artık adlarının bir parçası olarak bir kimlik dizesi, bir e-posta adresi ve yeni bir dosya uzantısı taşıdığını fark edecekler. Fopra Ransomware tarafından kullanılan e-posta 'poshix@tfwno.gf', dosya uzantısı ise '.fopra'dır. Hedeflenen tüm dosya türleri şifrelendiğinde, kötü amaçlı yazılım sistemde iki dosya oluşturur - 'info.txt' ve 'info.hta'. Bu dosyalar, siber suçluların talimatlarıyla birlikte fidye notları taşır.

Metin dosyasında iletilen mesaj, esas olarak kurbanların Fopra Ransomware operatörleriyle iletişim kurmak için kullanabilecekleri yöntemlerden oluşur. Şifrelenmiş dosyaların adlarında bulunan e-postanın yanı sıra, mesaj ayrıca iki ek adresten bahseder - 'rootma@cyberfear.com' ve 'usupmail@webmeetme.com'. Alternatif olarak, kullanıcılar Wire messenger uygulaması aracılığıyla siber suçluların bir temsilcisiyle iletişime geçebilir.

Bir açılır pencere olarak görüntülenen ana fidye notunu okumak, saldırganların yalnızca Bitcoin kripto para birimi kullanılarak yapılan fidye ödemelerini kabul edeceğini ortaya koyuyor. Ayrıca bir gösteri olarak ücretsiz olarak 3 dosyaya kadar kilidini açmaya hazırlar. Ancak seçilen dosyalar önemli bilgiler içermemeli ve toplam boyutu 4 MB'den az olmalıdır.

Fidye notunun tam metni şöyle:

' Tüm dosyalarınız şifrelendi!

' Tüm dosyalarınız şifrelendi. Onları geri yüklemek istiyorsanız, bize e-posta ile yazın: poshix@tfwno.gf
Bu kimliği mesajınızın başlığına yazın -
İsteğinize yanıt alma olasılığını artırmak için, aşağıdaki e-postalara da mektuplarınızı çoğaltın:rootma@cyberfear.com veya usupmail@webmeetme.com
Hızlı ve rahat geri bildirim için Wire messenger'daki çevrimiçi operatöre yazın: zexor (Wire hesabının kullanıcı adı yukarıdakiyle tamamen aynı olmalıdır,sahte hesaplara dikkat edin.)
Bitcoins'de şifre çözme için ödeme yapmanız gerekir. Fiyat, bize ne kadar hızlı yazdığınıza bağlıdır. Ödeme yapıldıktan sonra size tüm dosyalarınızın şifresini çözecek aracı göndereceğiz.

Garanti olarak ücretsiz şifre çözme
Ödeme yapmadan önce bize ücretsiz şifre çözme için en fazla 3 dosya gönderebilirsiniz. Dosyaların toplam boyutu 4Mb'den (arşivlenmemiş) az olmalı ve dosyalar değerli bilgiler içermemelidir. (veritabanları, yedeklemeler, büyük excel sayfaları vb.)

Bitcoin nasıl elde edilir
Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kaydolmanız, 'Bitcoin satın al'ı tıklamanız ve ödeme yöntemine ve fiyata göre satıcıyı seçmeniz gerekir.
hxxps://localbitcoins.com/buy_bitcoins
Ayrıca Bitcoin satın alabileceğiniz başka yerler ve yeni başlayanlar rehberini burada bulabilirsiniz:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dikkat!
Dosyalarınızın şifresini çözme konusunda garantili yardım almak için lütfen yalnızca bu notta belirtilen kişilerle iletişime geçin, aksi takdirde şifrenin çözülmesinden sorumlu değiliz!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü taraf yazılımları kullanarak verilerinizin şifresini çözmeye çalışmayın, çünkü bu, geri dönüşü olmayan veri kaybına neden olabilir.
Üçüncü şahısların yardımıyla dosyalarınızın şifresini çözmek, fiyatı artırabilir (ücretlerini bizimkilere eklerler) veya karşılığında dosyaların şifresini çözmeden para kaybetme riskiniz vardır.
!!! Üçüncü taraflarla iletişim kurarken, dosyalarınızın şifresinin çözülmesi için bir garanti vermiyoruz !!!

Metin dosyası olarak teslim edilen talimatlar şunlardır:

!! Tüm dosyalarınız şifrelenir !!!
Şifrelerini çözmek için şu adrese bir e-posta gönderin: poshix@tfwno.gf
Talebinize yanıt alma olasılığını artırmak için, aşağıdaki e-postalara gönderilen mektuplarınızı da çoğaltın:
rootma@cyberfear.com veya usupmail@webmeetme.com
Hızlı ve rahat geri bildirim için Wire messenger'daki çevrimiçi operatöre yazın: @zexor
(Wire hesabının kullanıcı adı yukarıdakiyle tamamen aynı olmalıdır, bir harf bile farklı olan hesaplar sahtedir.)

Dikkat!
Dosyalarınızın şifresini çözme konusunda garantili yardım almak için lütfen yalnızca bu notta belirtilen kişilerle iletişime geçin, aksi takdirde şifrenin çözülmesinden sorumlu değiliz! '