Mango Ransomware
باج افزار Mango توسط کارشناسان امنیت سایبری به عنوان یک برنامه تهدید کننده شناسایی شده است. این نرمافزار موذی از استراتژی رمزگذاری فایلها در دستگاه آسیبدیده استفاده میکند و متعاقباً درخواست پرداخت برای رمزگشایی آنها میکند. پس از راه اندازی در سیستم هدف، باج افزار Mango فرآیند رمزگذاری را آغاز می کند و نام فایل های اصلی فایل های مورد نظر را تغییر می دهد.
به این نام فایل ها، Mango یک شناسه متمایز اختصاص داده شده به قربانی، آدرس ایمیل مسئول مجرم سایبری، و پسوند «.mango» را اضافه می کند. به عنوان یک مثال گویا، فایلی که در ابتدا با عنوان '1.doc' نامگذاری شده بود به '1.doc.id[9ECFA74E-3316] تبدیل می شود.[duckjahana@onionmail.com].mango.'
پس از تکمیل فرآیند رمزگذاری، بدافزار دو یادداشت باج تولید می کند. یکی از این یادداشت ها به عنوان یک پنجره پاپ آپ با عنوان 'info.hta' ظاهر می شود، در حالی که دیگری یک فایل متنی به نام 'info.txt' است. این فایلها بر روی دسکتاپ ذخیره میشوند و در تمام فهرستهایی که در آن رمزگذاری رخ داده است، توزیع میشوند. قابل توجه است که باجافزار Mango متعلق به خانواده باجافزار فوبوس است که نشاندهنده دستهبندی گستردهتر در چشمانداز نرمافزارهای ناامن است.
یادداشت باج برای قربانیان باج افزار انبه باقی مانده است
محتوای درون فایل متنی نشان میدهد که فایلهایی که غیرقابل دسترسی هستند، تحت رمزگذاری قرار گرفتهاند و بر نیاز قربانی برای برقراری تماس با مهاجمان برای تسهیل فرآیند رمزگشایی تأکید میکند.
با گسترش اطلاعات، پیام پاپ آپ به جزئیات آلودگی باج افزار می پردازد. روشن می کند که بازیابی فایل های رمزگذاری شده مستلزم پرداخت باج است. ظاهراً میزان این باج بستگی به این دارد که قربانی با چه سرعتی به مجرمان سایبری دسترسی پیدا کند. نکته مهم این است که پرداخت به بیت کوین، نوعی ارز رمزنگاری شده، مشخص شده است.
قبل از تن دادن به تقاضای باج، به قربانی این فرصت داده می شود تا فرآیند رمزگشایی را بر روی سه فایل آسیب دیده، مشروط به مشخصات خاص، آزمایش کند. همزمان، هشدار هشداری صادر میشود و قربانی را درمورد هرگونه تغییر در فایلهای قفلشده، استفاده از ابزارهای رمزگشایی شخص ثالث و درخواست کمک از طرفهای خارجی توصیه میکند. این امر بر ماهیت حیاتی پایبندی به دستورالعملهای مشخص شده برای بهینهسازی شانس بازیابی موفق فایل در پارامترهای تعیینشده توسط مهاجمان تأکید میکند.
قابلیت های تهدید آمیز تهدید باج افزار Mango
Mango که به عنوان گونهای در خانواده فوبوس طبقهبندی میشود، به گروهی از تهدیدات بدافزار پیچیده تعلق دارد. ویژگیهای بدافزار خانواده فوبوس با اجتناب استراتژیک از غیرعملیاتی کردن سیستمهای آلوده، و بدون رمزگذاری فایلهای ضروری برای حفظ عملکرد سیستم، آن را متمایز میکند. این نوع باجافزار میتواند هم فایلهای محلی و هم فایلهای به اشتراک گذاشته شده در شبکه را رمزگذاری کند.
برای اطمینان از رمزگذاری مؤثر، باجافزار فوبوس فرآیندهای مرتبط با فایلهایی را که ممکن است «در حال استفاده» یا فعالانه باز در نظر گرفته شوند، مانند فایلهای خوانکننده فایل متنی یا برنامههای پایگاه داده، خاتمه میدهد. هدف این است که از معافیت ها بر اساس وضعیت فعال فایل ها در هنگام رمزگذاری جلوگیری شود.
در حالی که برنامههای فوبوس با صرفهجویی از فایلهای قفلشده توسط باجافزار دیگر، احتمال رمزگذاری مضاعف را کاهش میدهند، این رویکرد دارای محدودیتهای ذاتی است. این باجافزار به یک لیست باجافزار از پیش تعیینشده متکی است، که به دلیل ماهیت خود، نمیتواند همه تغییرات و ترکیبهای بالقوه را در بر بگیرد.
بدافزار برای جلوگیری از تلاشهای بازیابی اطلاعات، کپیهای حجم سایه را حذف میکند. علاوه بر این، فوبوس دارای یک ویژگی موقعیت جغرافیایی است که به آن امکان می دهد داده ها را جمع آوری کند و بر اساس عواملی مانند قدرت اقتصادی یا ملاحظات ژئوپلیتیکی رمزگذاری را تعیین کند.
برنامههای باجافزاری مانند Phobos از تکنیکهای متعددی برای اطمینان از پایداری استفاده میکنند. این شامل کپی کردن خود در مسیرهای خاص و ثبت نام با کلیدهای Run برای عملکرد شروع خودکار پس از راه اندازی مجدد سیستم است.
رمزگشایی بدون دخالت مهاجمان به ندرت امکان پذیر است، مگر در مواردی که باج افزار نقص های شدیدی را نشان می دهد. با وجود برآورده شدن درخواست های باج، قربانیان اغلب ابزارهای رمزگشایی وعده داده شده را دریافت نمی کنند. بنابراین، پرداخت باج به شدت ممنوع است، زیرا نه بازیابی اطلاعات را تضمین می کند و نه از حمایت از فعالیت های مجرمانه جلوگیری می کند.
برای جلوگیری از رمزگذاری بیشتر، حذف باج افزار Mango از سیستم عامل ضروری است. با این حال، مهم است که توجه داشته باشید که فرآیند حذف فایلهایی را که قبلاً توسط باجافزار به خطر افتاده بازیابی نمیکند. این امر اهمیت اقدامات پیشگیرانه و اقدامات امنیتی جامع را برای به حداقل رساندن تأثیر چنین تهدیدات بدافزار پیچیده ای کاهش می دهد.
متن کامل یادداشت باج تولید شده توسط باج افزار Mango به شرح زیر است:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)نحوه بدست آوردن بیت کوین
ساده ترین راه برای خرید بیت کوین سایت LocalBitcoins است. شما باید ثبت نام کنید، روی «خرید بیت کوین» کلیک کنید و فروشنده را بر اساس روش پرداخت و قیمت انتخاب کنید.
hxxps://localbitcoins.com/buy_bitcoins
همچنین می توانید مکان های دیگری برای خرید بیت کوین و راهنمای مبتدیان را در اینجا بیابید:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/توجه!
نام فایل های رمزگذاری شده را تغییر ندهید.
سعی نکنید اطلاعات خود را با استفاده از نرم افزار شخص ثالث رمزگشایی کنید، ممکن است باعث از دست رفتن دائمی داده ها شود.
رمزگشایی فایل های شما با کمک اشخاص ثالث ممکن است باعث افزایش قیمت شود (آنها هزینه خود را به ما اضافه می کنند) یا می توانید قربانی یک کلاهبرداری شوید.
فایل متنی ایجاد شده توسط تهدید حاوی پیام زیر است:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
