Fopra 勒索软件

网络安全研究人员发现了另一个有害的恶意软件威胁，属于已建立的勒索软件家族，即Phobos Ransomware家族。尽管它是另一种变体，但被追踪为 Fopra Ransowmare 的威胁足够强大，其破坏性潜力不容小觑。如果成功部署到目标计算机上，Fopra 将激活其加密过程，并使受害者的几乎所有文档、PDF、档案、数据库、照片等都处于不可用状态。

每个锁定的文件的名称都会发生巨大变化。受影响的用户会注意到他们的文件现在带有一个 ID 字符串、一个电子邮件地址和一个新的文件扩展名作为其名称的一部分。 Fopra Ransomware 使用的电子邮件是“poshix@tfwno.gf”，而文件扩展名是“.fopra”。当所有目标文件类型都被加密后，恶意软件将在系统上创建两个文件——“info.txt”和“info.hta”。这些文件带有来自网络犯罪分子的指示的赎金记录。

文本文件中传递的消息主要包括受害者可以用来联系 Fopra Ransomware 的运营商的方法。除了在加密文件名称中找到的电子邮件之外，该邮件还提到了两个额外的地址——“rootma@cyberfear.com”和“usupmail@webmeetme.com”。或者，用户可以通过 Wire messenger 应用程序联系网络犯罪分子的代表。

阅读显示为弹出窗口的主要赎金记录表明，攻击者只会接受使用比特币加密货币支付的赎金。他们还愿意免费解锁多达 3 个文件作为演示。但是，所选文件不得包含任何重要信息，并且总大小应小于 4 MB。

勒索信全文如下：

'你所有的文件都被加密了！

'您的所有文件都已加密。如果您想恢复它们，请通过电子邮件给我们写信：poshix@tfwno.gf
在您的消息标题中写下此 ID -
为了增加收到您请求的回复的可能性，请将您的信件复制到以下电子邮件：rootma@cyberfear.com 或 usupmail@webmeetme.com
如需快速方便的反馈，请在Wire messenger中写信给在线运营商：zexor（Wire账户的用户名必须与上述完全相同，谨防假账户。）
你必须支付比特币的解密费用。价格取决于您给我们写信的速度。付款后，我们将向您发送解密所有文件的工具。

免费解密为保证
在付款之前，您最多可以向我们发送 3 个免费解密的文件。文件的总大小必须小于 4Mb（未归档），并且文件不应包含有价值的信息。 （数据库、备份、大型 Excel 工作表等）

如何获得比特币
购买比特币的最简单方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后通过付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在此处找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
要获得解密文件的保证帮助，请仅联系本说明中指定的联系人，否则我们不负责解密！
不要重命名加密文件。
不要尝试使用第三方软件解密您的数据，因为这可能会导致不可逆转的数据丢失。
在第三方的帮助下解密您的文件可能会增加价格（他们将费用添加到我们的费用中），或者您可能会在没有收到文件解密作为回报的情况下赔钱。
！！！联系第三方时，我们不保证解密您的文件！！！

以文本文件形式提供的说明如下：

！！你所有的文件都被加密了！！！
要解密它们，请发送电子邮件至此地址：poshix@tfwno.gf
为了增加收到您的请求回复的可能性，请将您的信件复制到以下电子邮件：
rootma@cyberfear.com 或 usupmail@webmeetme.com
如需快速便捷的反馈，请在 Wire messenger 中写信给在线运营商：@zexor
（Wire 账户的用户名必须与上述完全相同，注意任何一个字母不同的账户都是假的。）

注意力！
要获得解密文件的保证帮助，请仅联系本说明中指定的联系人，否则，我们不负责解密！ '