Mango Ransomware
تم تحديد برنامج Mango Ransomware كبرنامج تهديد من قبل خبراء الأمن السيبراني. يستخدم هذا البرنامج الخبيث إستراتيجية تشفير الملفات الموجودة على الجهاز المخترق ومن ثم المطالبة بالدفع مقابل فك تشفيرها. بمجرد بدء تشغيل برنامج Mango Ransomware على النظام المستهدف، يبدأ عملية التشفير، ويعدل أسماء الملفات الأصلية للملفات المعنية.
تُلحق Mango بأسماء الملفات هذه معرفًا مميزًا مخصصًا للضحية، وعنوان البريد الإلكتروني للمجرم الإلكتروني المسؤول، وامتداد ".mango". كمثال توضيحي، يتم تحويل الملف الذي يحمل الاسم الأصلي "1.doc" إلى "1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango."
عند الانتهاء من عملية التشفير، تقوم البرامج الضارة بإنشاء مذكرتي فدية. تظهر إحدى هذه الملاحظات كنافذة منبثقة بعنوان "info.hta"، بينما الأخرى عبارة عن ملف نصي يسمى "info.txt". يتم إيداع هذه الملفات على سطح المكتب وتوزيعها عبر كافة الأدلة التي حدث فيها التشفير. من الجدير بالذكر أن برنامج Mango Ransomware ينتمي إلى عائلة Phobos Ransomware ، مما يعكس تصنيفًا أوسع ضمن مشهد البرامج غير الآمنة.
مذكرة الفدية المتروكة لضحايا برنامج Mango Ransomware
يشير المحتوى الموجود في الملف النصي إلى أن الملفات التي يتعذر الوصول إليها قد خضعت للتشفير، مما يؤكد حاجة الضحية إلى إقامة اتصال مع المهاجمين لتسهيل عملية فك التشفير.
بتوسيع المعلومات، تتعمق الرسالة المنبثقة في تفاصيل الإصابة ببرامج الفدية. ويوضح أن استعادة الملفات المشفرة يستلزم دفع فدية. ويزعم أن مبلغ هذه الفدية يعتمد على مدى سرعة وصول الضحية إلى مجرمي الإنترنت. الأهم من ذلك، أن الدفع محدد ليتم بعملة البيتكوين، وهو شكل من أشكال العملة المشفرة.
قبل الموافقة على طلبات الفدية، يتم منح الضحية الفرصة لاختبار عملية فك التشفير على ثلاثة ملفات متأثرة، مع مراعاة مواصفات معينة. في الوقت نفسه، يتم إصدار تحذير تحذيري، ينصح الضحية بعدم إجراء أي تعديلات على الملفات المقفلة، واستخدام أدوات فك التشفير التابعة لجهات خارجية، وطلب المساعدة من أطراف خارجية. وهذا يؤكد على الطبيعة الحاسمة للالتزام بالتعليمات المحددة لتحسين فرص استرداد الملفات بنجاح ضمن المعلمات التي حددها المهاجمون.
القدرات التهديدية لتهديد Mango Ransomware
ينتمي برنامج Mango، المُصنف ضمن عائلة Phobos، إلى مجموعة من تهديدات البرمجيات الخبيثة المتطورة. تميز خصائص البرامج الضارة لعائلة Phobos عن طريق تجنب جعل الأنظمة المصابة غير قابلة للتشغيل بشكل استراتيجي، مما يترك الملفات المهمة غير مشفرة للحفاظ على وظائف النظام. هذا النوع من برامج الفدية قادر على تشفير كل من الملفات المحلية وتلك المشتركة عبر الشبكة.
لضمان التشفير الفعال، ينهي Phobos Ransomware العمليات المرتبطة بالملفات التي قد تعتبر "قيد الاستخدام" أو مفتوحة بشكل نشط، مثل تلك الموجودة في برامج قراءة الملفات النصية أو برامج قواعد البيانات. والقصد من ذلك هو منع الاستثناءات بناءً على الحالة النشطة للملفات أثناء التشفير.
في حين تهدف برامج Phobos إلى تقليل احتمالية التشفير المزدوج عن طريق الحفاظ على الملفات المقفلة بواسطة برامج فدية أخرى، إلا أن هذا النهج له قيود متأصلة. فهو يعتمد على قائمة برامج الفدية المحددة مسبقًا، والتي، بطبيعتها، لا يمكنها أن تشمل جميع الاختلافات والمجموعات المحتملة.
لعرقلة جهود استعادة البيانات، تقوم البرامج الضارة بحذف نسخ حجم الظل. بالإضافة إلى ذلك، يتضمن Phobos ميزة تحديد الموقع الجغرافي، مما يسمح له بجمع البيانات وتحديد ما إذا كان سيتم المضي قدمًا في التشفير بناءً على عوامل مثل القوة الاقتصادية أو الاعتبارات الجيوسياسية.
تستخدم برامج Ransomware، مثل Phobos، تقنيات متعددة لضمان استمراريتها. يتضمن ذلك نسخ أنفسهم إلى مسارات محددة والتسجيل باستخدام مفاتيح التشغيل لبدء التشغيل التلقائي بعد عمليات إعادة تشغيل النظام.
نادرًا ما يكون فك التشفير دون مشاركة المهاجمين ممكنًا، إلا في الحالات التي يظهر فيها برنامج الفدية عيوبًا خطيرة. على الرغم من تلبية طلبات الفدية، لا يحصل الضحايا في كثير من الأحيان على أدوات فك التشفير الموعودة. ولذلك، لا ينصح بشدة بدفع الفدية، لأنها لا تضمن استعادة البيانات ولا تمنع دعم الأنشطة الإجرامية.
لإحباط المزيد من عمليات التشفير، يعد إزالة Mango Ransomware من نظام التشغيل أمرًا ضروريًا. ومع ذلك، من المهم ملاحظة أن عملية الإزالة لا تؤدي إلى استعادة الملفات التي تم اختراقها بالفعل بواسطة برنامج الفدية. وهذا يقلل من أهمية التدابير الوقائية والممارسات الأمنية الشاملة لتقليل تأثير تهديدات البرامج الضارة المتطورة هذه.
النص الكامل لمذكرة الفدية التي تم إنشاؤها بواسطة Mango Ransomware هو:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)كيفية الحصول على البيتكوين
أسهل طريقة لشراء البيتكوين هي موقع LocalBitcoins. يجب عليك التسجيل، والنقر فوق "شراء عملات البيتكوين"، واختيار البائع حسب طريقة الدفع والسعر.
hxxps://localbitcoins.com/buy_bitcoins
كما يمكنك العثور على أماكن أخرى لشراء Bitcoins ودليل المبتدئين هنا:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/انتباه!
لا تقم بإعادة تسمية الملفات المشفرة.
لا تحاول فك تشفير بياناتك باستخدام برامج طرف ثالث، فقد يتسبب ذلك في فقدان دائم للبيانات.
قد يؤدي فك تشفير ملفاتك بمساعدة أطراف ثالثة إلى زيادة السعر (يضيفون رسومهم إلى رسومنا) أو يمكن أن تصبح ضحية لعملية احتيال.'
يحتوي الملف النصي الذي تم إنشاؤه بواسطة التهديد على الرسالة التالية:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
