Ransomware Mango

El Mango Ransomware ha estat identificat com un programa amenaçador per experts en ciberseguretat. Aquest programari insidiosa empra una estratègia de xifrar fitxers al dispositiu compromès i, posteriorment, exigir el pagament pel seu desxifrat. Un cop iniciat al sistema de destinació, el Mango Ransomware comença el procés de xifratge, modificant els noms de fitxer originals dels fitxers en qüestió.

A aquests noms de fitxer, Mango afegeix un identificador distintiu assignat a la víctima, l'adreça de correu electrònic del responsable cibercriminal i una extensió ".mango". Com a exemple il·lustratiu, un fitxer originalment etiquetat com '1.doc' es transforma en '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'

Un cop finalitzat el procés de xifratge, el programari maliciós genera dues notes de rescat. Una d'aquestes notes apareix com una finestra emergent titulada "info.hta", mentre que l'altra és un fitxer de text anomenat "info.txt". Aquests fitxers es dipositen a l'escriptori i es distribueixen a tots els directoris on s'ha produït el xifratge. Cal destacar que Mango Ransomware pertany a la família Phobos Ransomware , que reflecteix una categorització més àmplia dins del panorama del programari no segur.

La nota de rescat deixada a les víctimes del ransomware Mango

El contingut del fitxer de text comunica que els fitxers inaccessibles han estat xifrats, posant l'accent en la necessitat que la víctima estableixi contacte amb els atacants per facilitar el procés de desxifrat.

Ampliant la informació, el missatge emergent aprofundeix en els detalls de la infecció del ransomware. Aclareix que la recuperació dels fitxers xifrats requereix el pagament d'un rescat. La quantitat d'aquest rescat depèn suposadament de la rapidesa amb què la víctima s'acosta als ciberdelinqüents. És important destacar que el pagament s'especifica per fer-se en Bitcoin, una forma de criptomoneda.

Abans d'acceptar les demandes de rescat, la víctima té l'oportunitat de provar el procés de desxifrat en tres fitxers afectats, subjecte a determinades especificacions. Simultàniament, s'emet un avís d'advertència, aconsellant a la víctima qualsevol modificació als fitxers bloquejats, l'ús d'eines de desxifrat de tercers i demanant ajuda a tercers. Això subratlla la naturalesa crítica d'adherir-se a les instruccions especificades per optimitzar les possibilitats de recuperació d'arxius amb èxit dins dels paràmetres establerts pels atacants.

Capacitats amenaçadores de l'amenaça de Mango Ransomware

Mango, categoritzat com una variant dins de la família Phobos, pertany a un grup d'amenaces de programari maliciós sofisticats. Les característiques del programari maliciós de la família Phobos el diferencien evitant estratègicament que els sistemes infectats no estiguin operatius, deixant els fitxers crucials sense xifrar per mantenir la funcionalitat del sistema. Aquesta variant de ransomware és capaç de xifrar tant els fitxers locals com els compartits a través d'una xarxa.

Per garantir un xifratge efectiu, el Phobos Ransomware finalitza els processos associats amb fitxers que es poden considerar "en ús" o oberts activament, com ara els dels lectors de fitxers de text o els programes de bases de dades. La intenció és evitar exempcions basades en l'estat actiu dels fitxers durant el xifratge.

Tot i que els programes Phobos tenen com a objectiu reduir la probabilitat de doble xifratge estalviant fitxers bloquejats per altres ransomware, aquest enfocament té limitacions inherents. Es basa en una llista de ransomware predeterminada, que, per la seva naturalesa, no pot englobar totes les variacions i combinacions potencials.

Per impedir els esforços de recuperació de dades, el programari maliciós suprimeix les còpies del volum d'ombra. A més, Phobos inclou una funció de geolocalització, que li permet recollir dades i determinar si s'ha de procedir amb el xifratge en funció de factors com la fortalesa econòmica o consideracions geopolítiques.

Els programes de ransomware com Phobos utilitzen diverses tècniques per garantir la persistència. Això inclou copiar-se a camins específics i registrar-se amb les tecles d'execució per a la funcionalitat d'inici automàtic després del reinici del sistema.

El desxifrat sense la participació dels atacants és poques vegades factible, excepte en els casos en què el ransomware presenta defectes greus. Tot i complir les demandes de rescat, les víctimes sovint no reben les eines de desxifrat promeses. Per tant, es desaconsella molt pagar el rescat, ja que ni garanteix la recuperació de dades ni impedeix el suport a activitats delictives.

Per frustrar més xifrats, és imprescindible eliminar el Mango Ransomware del sistema operatiu. Tanmateix, és crucial tenir en compte que el procés d'eliminació no restaura els fitxers que ja estan compromesos pel ransomware. Això disminueix la importància de les mesures preventives i pràctiques de seguretat integrals per minimitzar l'impacte d'aquestes amenaces de programari maliciós sofisticades.

El text complet de la nota de rescat generada pel Mango Ransomware és:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Com obtenir Bitcoins
La manera més fàcil de comprar bitcoins és el lloc LocalBitcoins. Cal registrar-se, fer clic a "Comprar bitcoins" i seleccionar el venedor per mètode de pagament i preu.
hxxps://localbitcoins.com/buy_bitcoins
També podeu trobar altres llocs per comprar Bitcoins i guia per a principiants aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenció!
No canvieu el nom dels fitxers xifrats.
No intenteu desxifrar les vostres dades amb programari de tercers, pot provocar una pèrdua permanent de dades.
Desxifrar els vostres fitxers amb l'ajuda de tercers pot provocar un augment del preu (afegim la seva tarifa a la nostra) o podeu convertir-vos en víctima d'una estafa.'

El fitxer de text creat per l'amenaça conté el missatge següent:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'