Mango Ransomware

Mango Ransomware е идентифициран като заплашителна програма от експерти по киберсигурност. Този коварен софтуер използва стратегия за криптиране на файлове на компрометираното устройство и впоследствие изисква плащане за тяхното дешифриране. След като бъде иницииран в целевата система, Mango Ransomware започва процеса на криптиране, като променя оригиналните файлови имена на въпросните файлове.

Към тези имена на файлове Mango добавя отличителен идентификатор, присвоен на жертвата, имейл адреса на отговорния киберпрестъпник и разширение „.mango“. Като илюстративен пример, файл, първоначално обозначен с „1.doc“, се трансформира в „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.“

След завършване на процеса на криптиране зловредният софтуер генерира две бележки за откуп. Една от тези бележки се появява като изскачащ прозорец, озаглавен „info.hta“, докато другият е текстов файл с име „info.txt“. Тези файлове се депозират на работния плот и се разпространяват във всички директории, където е настъпило криптиране. Трябва да се отбележи, че Mango Ransomware принадлежи към фамилията Phobos Ransomware , отразявайки по-широка категоризация в пейзажа на опасния софтуер.

Бележката за откуп, оставена на жертвите на Mango Ransomware

Съдържанието в текстовия файл съобщава, че файловете, направени недостъпни, са били криптирани, подчертавайки необходимостта жертвата да установи контакт с нападателите, за да улесни процеса на дешифриране.

Разширявайки информацията, изскачащото съобщение се задълбочава в спецификата на инфекцията с ransomware. Той пояснява, че възстановяването на криптираните файлове изисква плащането на откуп. Размерът на този откуп се предполага, че зависи от това колко бързо жертвата достига до киберпрестъпниците. Важно е, че плащането е посочено да се извършва в биткойни, форма на криптовалута.

Преди да се съгласи с исканията за откуп, на жертвата се дава възможност да тества процеса на декриптиране на три засегнати файла, при спазване на определени спецификации. Едновременно с това се издава предупредително предупреждение, което съветва жертвата да не прави модификации на заключените файлове, да използва инструменти за декриптиране на трети страни и да търси помощ от външни лица. Това подчертава критичния характер на придържането към посочените инструкции за оптимизиране на шансовете за успешно възстановяване на файлове в рамките на параметрите, зададени от нападателите.

Заплашителни възможности на Mango Ransomware Threat

Mango, категоризиран като вариант в семейството на Phobos, принадлежи към група от сложни заплахи за зловреден софтуер. Характеристиките на зловреден софтуер от семейството на Phobos го отличават, като стратегически избягват да правят заразените системи неработещи, оставяйки важни файлове некриптирани, за да поддържат функционалността на системата. Този вариант на ransomware е в състояние да криптира както локални файлове, така и споделени в мрежата.

За да осигури ефективно криптиране, Phobos Ransomware прекратява процеси, свързани с файлове, които може да се считат за „в употреба“ или активно отворени, като тези в четци на текстови файлове или програми за бази данни. Намерението е да се предотвратят изключения въз основа на активния статус на файловете по време на криптиране.

Въпреки че програмите Phobos имат за цел да намалят вероятността от двойно криптиране, като спестяват файлове, заключени от друг ransomware, този подход има присъщи ограничения. Той разчита на предварително определен списък с ransomware, който по своето естество не може да обхване всички потенциални вариации и комбинации.

За да попречи на усилията за възстановяване на данни, зловредният софтуер изтрива Shadow Volume Copies. Освен това Phobos включва функция за геолокация, която му позволява да събира данни и да определя дали да продължи с криптиране въз основа на фактори като икономическа сила или геополитически съображения.

Програмите за рансъмуер като Phobos използват множество техники, за да гарантират устойчивост. Това включва копиране на себе си в конкретни пътища и регистриране с клавиши Run за функция за автоматично стартиране след рестартиране на системата.

Дешифрирането без участието на нападателите рядко е осъществимо, освен в случаите, когато рансъмуерът показва сериозни недостатъци. Въпреки че отговарят на исканията за откуп, жертвите често не получават обещаните инструменти за дешифриране. Следователно плащането на откупа е силно обезкуражено, тъй като нито гарантира възстановяване на данни, нито предотвратява подкрепата на престъпни дейности.

За да осуети по-нататъшно криптиране, премахването на Mango Ransomware от операционната система е наложително. Важно е обаче да се отбележи, че процесът на премахване не възстановява файлове, вече компрометирани от ransomware. Това намалява значението на превантивните мерки и цялостните практики за сигурност за минимизиране на въздействието на такива сложни заплахи от зловреден софтуер.

Целият текст на бележката за откуп, генерирана от Mango Ransomware, е:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Как да получите биткойни
Най-лесният начин за закупуване на биткойни е сайтът LocalBitcoins. Трябва да се регистрирате, да кликнете върху „Купете биткойни“ и да изберете продавача по начин на плащане и цена.
hxxps://localbitcoins.com/buy_bitcoins
Също така можете да намерите други места за закупуване на биткойни и ръководство за начинаещи тук:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

внимание!
Не преименувайте криптирани файлове.
Не се опитвайте да дешифрирате данните си с помощта на софтуер на трета страна, това може да причини трайна загуба на данни.
Дешифрирането на вашите файлове с помощта на трети страни може да доведе до повишена цена (те добавят своята такса към нашата) или можете да станете жертва на измама.'

Текстовият файл, създаден от заплахата, съдържа следното съобщение:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'