Mango Ransomware
Mango Ransomware er blevet identificeret som et truende program af cybersikkerhedseksperter. Denne lumske software anvender en strategi med at kryptere filer på den kompromitterede enhed og efterfølgende kræve betaling for deres dekryptering. Når først den er startet på det målrettede system, begynder Mango Ransomware krypteringsprocessen og ændrer de originale filnavne på de pågældende filer.
Til disse filnavne tilføjer Mango et karakteristisk ID, der er tildelt offeret, e-mailadressen på den ansvarlige cyberkriminelle og en '.mango'-udvidelse. Som et illustrativt eksempel transformeres en fil oprindeligt mærket '1.doc' til '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
Efter afslutningen af krypteringsprocessen genererer malwaren to løsesumsedler. En af disse noter vises som et pop op-vindue med titlen 'info.hta', mens den anden er en tekstfil med navnet 'info.txt'. Disse filer deponeres på skrivebordet og distribueres på tværs af alle mapper, hvor kryptering har fundet sted. Det er bemærkelsesværdigt, at Mango Ransomware tilhører Phobos Ransomware- familien, hvilket afspejler en bredere kategorisering inden for landskabet af usikker software.
Løsepengenotatet overladt til ofrene for Mango Ransomware
Indholdet i tekstfilen kommunikerer, at de filer, der er gjort utilgængelige, har gennemgået kryptering, hvilket understreger behovet for, at offeret etablerer kontakt med angriberne for at lette dekrypteringsprocessen.
Udvider informationen, dykker pop op-meddelelsen ind i detaljerne ved ransomware-infektionen. Det præciserer, at gendannelse af de krypterede filer kræver betaling af en løsesum. Mængden af denne løsesum er angiveligt afhængig af, hvor hurtigt offeret når ud til cyberkriminelle. Det er vigtigt, at betalingen er specificeret til at blive foretaget i Bitcoin, en form for kryptovaluta.
Før offeret accepterer løsesumskravene, får offeret mulighed for at teste dekrypteringsprocessen på tre berørte filer, med forbehold for visse specifikationer. Samtidig udsendes en advarsel, der rådgiver offeret mod eventuelle ændringer af de låste filer, brugen af tredjeparts dekrypteringsværktøjer og søger assistance fra eksterne parter. Dette understreger den kritiske karakter af at overholde de specificerede instruktioner for at optimere chancerne for vellykket filgendannelse inden for de parametre, der er indstillet af angriberne.
Truende egenskaber ved Mango Ransomware-truslen
Mango, kategoriseret som en variant inden for Phobos-familien, tilhører en gruppe af sofistikerede malware-trusler. Karakteristikaene ved Phobos-familiens malware adskiller den ved strategisk at undgå at gøre inficerede systemer ikke-operative, hvilket efterlader vigtige filer ukrypteret for at opretholde systemets funktionalitet. Denne ransomware-variant er i stand til at kryptere både lokale filer og dem, der deles på tværs af et netværk.
For at sikre effektiv kryptering afslutter Phobos Ransomware processer forbundet med filer, der kan betragtes som 'i brug' eller aktivt åbne, såsom dem i tekstfillæsere eller databaseprogrammer. Hensigten er at forhindre dispensationer baseret på filernes aktive status under kryptering.
Mens Phobos-programmer sigter mod at reducere sandsynligheden for dobbeltkryptering ved at skåne filer, der er låst af anden ransomware, har denne tilgang iboende begrænsninger. Den er afhængig af en forudbestemt ransomware-liste, som i sagens natur ikke kan omfatte alle potentielle variationer og kombinationer.
For at hindre datagendannelsesindsatsen sletter malwaren Shadow Volume Copies. Derudover inkluderer Phobos en geolokaliseringsfunktion, der gør det muligt at indsamle data og bestemme, om det skal fortsætte med kryptering baseret på faktorer som økonomisk styrke eller geopolitiske overvejelser.
Ransomware-programmer som Phobos anvender flere teknikker for at sikre vedholdenhed. Dette inkluderer kopiering af sig selv til bestemte stier og registrering med Run-nøgler for automatisk startfunktionalitet efter systemgenstart.
Dekryptering uden involvering af angriberne er sjældent mulig, undtagen i tilfælde, hvor ransomwaren udviser alvorlige fejl. På trods af opfyldelse af krav om løsesum modtager ofrene ofte ikke de lovede dekrypteringsværktøjer. Derfor frarådes det på det kraftigste at betale løsesum, da det hverken garanterer datagendannelse eller forhindrer støtte fra kriminelle aktiviteter.
For at forhindre yderligere kryptering er det bydende nødvendigt at fjerne Mango Ransomware fra operativsystemet. Det er dog afgørende at bemærke, at fjernelsesprocessen ikke gendanner filer, der allerede er kompromitteret af ransomwaren. Dette mindsker vigtigheden af forebyggende foranstaltninger og omfattende sikkerhedspraksis for at minimere virkningen af sådanne sofistikerede malwaretrusler.
Hele teksten i løsesumsedlen genereret af Mango Ransomware er:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Sådan får du Bitcoins
Den nemmeste måde at købe bitcoins på er LocalBitcoins websted. Du skal registrere dig, klikke på 'Køb bitcoins' og vælge sælger efter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finde andre steder at købe Bitcoins og begynderguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Opmærksomhed!
Omdøb ikke krypterede filer.
Forsøg ikke at dekryptere dine data ved hjælp af tredjepartssoftware, det kan forårsage permanent datatab.
Dekryptering af dine filer med hjælp fra tredjeparter kan medføre øget pris (de tilføjer deres gebyr til vores), eller du kan blive offer for en fidus.'
Tekstfilen oprettet af truslen indeholder følgende besked:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
