Fopra Ransomware

Дослідники з кібербезпеки виявили ще одну шкідливу загрозу зловмисного програмного забезпечення, що належить до сімейства програм- вимагачів Phobos . Хоча це інший варіант, загроза, яку відстежують як Fopra Ransowmare, досить потужна, і її руйнівний потенціал не слід недооцінювати. У разі успішного розгортання на цільових комп’ютерах Fopra активує процес шифрування та залишить майже всі документи жертви, PDF-файли, архіви, бази даних, фотографії тощо в непридатному для використання стані.

Ім'я кожного заблокованого файлу буде суттєво змінено. Постраждалі користувачі помітять, що їхні файли тепер містять рядок ідентифікатора, адресу електронної пошти та нове розширення файлу як частину своїх імен. Електронна адреса, яку використовує програмне забезпечення-вимагач Fopra, — «poshix@tfwno.gf», а розширення файлу — «.fopra». Коли всі цільові типи файлів зашифровано, зловмисне програмне забезпечення створить у системі два файли – «info.txt» і «info.hta». Ці файли містять нотатки про викуп з інструкціями від кіберзлочинців.

Повідомлення, надіслане в текстовому файлі, в основному містить методи, за допомогою яких жертви можуть зв’язатися з операторами програми-вимагача Fopra. Окрім адреси електронної пошти, знайденої в іменах зашифрованих файлів, у повідомленні також згадуються дві додаткові адреси — «rootma@cyberfear.com» і «usupmail@webmeetme.com». Крім того, користувачі можуть зв’язатися з представником кіберзлочинців через програму для обміну повідомленнями Wire.

Прочитавши основну записку про викуп, яка відображається у вигляді спливаючого вікна, виявляється, що зловмисники прийматимуть викуп лише за допомогою криптовалюти Bitcoin. Вони також готові розблокувати до 3 файлів безкоштовно як демонстрацію. Однак вибрані файли не повинні містити жодної важливої інформації та мати загальний розмір менше 4 МБ.

Повний текст повідомлення про викуп:

Усі ваші файли зашифровано!

Усі ваші файли зашифровано. Якщо ви хочете їх відновити, напишіть нам на електронну адресу: poshix@tfwno.gf
Напишіть цей ідентифікатор у заголовку свого повідомлення -
Щоб підвищити ймовірність отримання відповіді на ваш запит, також дублюйте свої листи на такі електронні адреси:rootma@cyberfear.com або usupmail@webmeetme.com
Для швидкого та зручного зворотнього зв'язку напишіть онлайн-оператору в месенджері Wire: zexor (Ім'я користувача облікового запису Wire має бути точно таким же, як вище, остерігайтеся фейкових акаунтів.)
Ви повинні платити за розшифровку в біткойнах. Ціна залежить від того, як швидко ви нам напишете. Після оплати ми надішлемо вам інструмент, який розшифрує всі ваші файли.

Безкоштовне розшифрування як гарантія
Перед оплатою ви можете надіслати нам до 3 файлів для безкоштовного розшифрування. Загальний розмір файлів не повинен перевищувати 4 Мб (без архіву), і файли не повинні містити цінної інформації. (бази даних, резервні копії, великі таблиці Excel тощо)

Як отримати біткоіни
Найпростіший спосіб купити біткоіни - сайт LocalBitcoins. Вам необхідно зареєструватися, натиснути «Купити біткоіни» та вибрати продавця за способом оплати та ціною.
hxxps://localbitcoins.com/buy_bitcoins
Також ви можете знайти інші місця для покупки біткойнів і посібник для початківців тут:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Увага!
Щоб отримати гарантовану допомогу в розшифровці файлів, звертайтеся лише за контактами, вказаними в цій примітці, інакше ми не несемо відповідальності за розшифровку!
Не перейменовуйте зашифровані файли.
Не намагайтеся розшифрувати дані за допомогою стороннього програмного забезпечення, оскільки це може призвести до безповоротної втрати даних.
Розшифровка ваших файлів за допомогою третіх сторін може збільшити ціну (вони додають свою комісію до нашої), або ви ризикуєте втратити гроші, не отримавши розшифрування файлів натомість.
!!! При зверненні до третіх осіб ми не даємо гарантії на розшифровку ваших файлів !!!

Інструкції, що надаються у вигляді текстового файлу:

!! Всі ваші файли зашифровані !!!
Щоб розшифрувати їх, надішліть електронний лист на цю адресу: poshix@tfwno.gf
Щоб підвищити вірогідність отримання відповіді на ваш запит, також дублюйте свої листи на такі електронні адреси:
rootma@cyberfear.com або usupmail@webmeetme.com
Для швидкого та зручного зворотного зв’язку пишіть онлайн-оператору в месенджері Wire: @zexor
(Ім’я користувача облікового запису Wire має бути точно таким же, як і вище, будьте пильні, будь-які облікові записи, які відрізняються хоча б на одну літеру, є підробленими.)

Увага!
Щоб отримати гарантовану допомогу в розшифровці файлів, звертайтеся лише за контактами, вказаними в цій примітці, в іншому випадку ми не несемо відповідальності за розшифровку! '