Mango Ransomware
Kyberturvallisuusasiantuntijat ovat tunnistaneet Mango Ransomwaren uhkaavaksi ohjelmaksi. Tämä salakavala ohjelmisto käyttää strategiaa, joka salaa vaarantuneen laitteen tiedostot ja vaatii myöhemmin maksua niiden salauksen purkamisesta. Kun Mango Ransomware on aloitettu kohdejärjestelmässä, se aloittaa salausprosessin ja muuttaa kyseisten tiedostojen alkuperäisiä tiedostonimiä.
Näihin tiedostonimiin Mango liittää uhrille määritetyn erottuvan tunnuksen, vastuussa olevan kyberrikollisen sähköpostiosoitteen ja .mango-tunnisteen. Havainnollistavana esimerkkinä tiedosto, jonka nimi oli alun perin 1.doc, muuttuu muotoon 1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.
Salausprosessin päätyttyä haittaohjelma luo kaksi lunnaita. Toinen näistä huomautuksista näkyy ponnahdusikkunana nimeltä "info.hta", kun taas toinen on tekstitiedosto nimeltä "info.txt". Nämä tiedostot tallennetaan työpöydälle ja jaetaan kaikkiin hakemistoihin, joissa salaus on tapahtunut. On huomionarvoista, että Mango Ransomware kuuluu Phobos Ransomware -perheeseen, mikä kuvastaa laajempaa luokittelua vaarallisten ohjelmistojen maisemassa.
Mango Ransomwaren uhreille jätetty Ransom Note
Tekstitiedoston sisältö kertoo, että käyttökelvottomiksi tehdyt tiedostot on salattu, mikä korostaa, että uhrin on otettava yhteyttä hyökkääjiin salauksen purkuprosessin helpottamiseksi.
Tietoa laajentava ponnahdusikkuna käsittelee ransomware-tartunnan yksityiskohtia. Se selventää, että salattujen tiedostojen palauttaminen edellyttää lunnaiden maksamista. Tämän lunnaiden määrän väitetään olevan riippuvainen siitä, kuinka nopeasti uhri tavoittaa kyberrikolliset. Tärkeää on, että maksu on määritetty suoritettavaksi Bitcoinissa, eräässä kryptovaluutan muodossa.
Ennen kuin hän suostuu lunnaisiin, uhrille annetaan mahdollisuus testata salauksen purkuprosessia kolmella tiedostolla, jota asia koskee, tietyin edellytyksin. Samanaikaisesti annetaan varoitus, jossa uhria varoitetaan muuttamasta lukittuja tiedostoja, käyttämästä kolmannen osapuolen salauksenpurkutyökaluja ja hakemasta apua ulkoisilta osapuolilta. Tämä korostaa määritettyjen ohjeiden noudattamisen kriittistä luonnetta, jotta voidaan optimoida onnistuneen tiedostojen palautuksen mahdollisuudet hyökkääjien asettamien parametrien puitteissa.
Mango Ransomware -uhan uhkaavat ominaisuudet
Mango, joka on luokiteltu Phobos-perheen muunnelmaksi, kuuluu monimutkaisten haittaohjelmauhkien ryhmään. Phobos-haittaohjelmien ominaisuudet erottavat sen strategisesti välttämällä tartunnan saaneiden järjestelmien tekemisen toimintakyvyttömiksi ja jättämällä tärkeät tiedostot salaamatta järjestelmän toiminnan ylläpitämiseksi. Tämä kiristysohjelmaversio pystyy salaamaan sekä paikalliset että verkon yli jaetut tiedostot.
Tehokkaan salauksen varmistamiseksi Phobos Ransomware lopettaa prosessit, jotka liittyvät tiedostoihin, joita voidaan pitää "käytössä" tai aktiivisesti avoinna, kuten tekstitiedostojen lukuohjelmissa tai tietokantaohjelmissa. Tarkoituksena on estää tiedostojen aktiiviseen tilaan perustuvat poikkeukset salauksen aikana.
Vaikka Phobos-ohjelmat pyrkivät vähentämään kaksoissalauksen todennäköisyyttä säästämällä muiden kiristysohjelmien lukitsemia tiedostoja, tällä lähestymistavalla on luontaisia rajoituksia. Se perustuu ennalta määrättyyn kiristysohjelmaluetteloon, joka luonteensa vuoksi ei voi sisältää kaikkia mahdollisia muunnelmia ja yhdistelmiä.
Tietojen palauttamisen estämiseksi haittaohjelma poistaa Shadow Volume Copies -kopiot. Lisäksi Phobos sisältää maantieteellisen paikannusominaisuuden, jonka avulla se voi kerätä tietoja ja päättää, edetäänkö salaukseen perustuen tekijöihin, kuten taloudellinen vahvuus tai geopoliittiset näkökohdat.
Ransomware-ohjelmat, kuten Phobos, käyttävät useita tekniikoita pysyvyyden varmistamiseksi. Tämä sisältää itsensä kopioimisen tiettyihin polkuihin ja rekisteröitymisen Run-näppäimillä automaattista käynnistystä varten järjestelmän uudelleenkäynnistyksen jälkeen.
Salauksen purkaminen ilman hyökkääjien osallistumista on harvoin mahdollista, paitsi tapauksissa, joissa kiristysohjelmassa on vakavia puutteita. Huolimatta lunnaita koskevista vaatimuksista, uhrit eivät usein saa luvattuja salauksen purkutyökaluja. Siksi lunnaiden maksamista ei suositella, sillä se ei takaa tietojen palautusta eikä estä rikollisen toiminnan tukemista.
Lisäsalausten estämiseksi Mango Ransomwaren poistaminen käyttöjärjestelmästä on välttämätöntä. On kuitenkin tärkeää huomata, että poistoprosessi ei palauta kiristysohjelman jo vaarantamia tiedostoja. Tämä vähentää ennaltaehkäisevien toimenpiteiden ja kattavien suojauskäytäntöjen merkitystä tällaisten kehittyneiden haittaohjelmauhkien vaikutuksen minimoimiseksi.
Mango Ransomwaren luoman lunnasilmoituksen koko teksti on:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kuinka saada Bitcoineja
Helpoin tapa ostaa bitcoineja on LocalBitcoins-sivusto. Sinun tulee rekisteröityä, klikata 'Osta bitcoineja' ja valita myyjä maksutavan ja hinnan mukaan.
hxxps://localbitcoins.com/buy_bitcoins
Täältä löydät myös muita Bitcoinien ostopaikkoja ja aloittelijaoppaan:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Huomio!
Älä nimeä salattuja tiedostoja uudelleen.
Älä yritä purkaa tietojesi salausta kolmannen osapuolen ohjelmistolla, se voi aiheuttaa pysyvän tietojen menetyksen.
Tiedostojesi salauksen purkaminen kolmansien osapuolien avulla voi nostaa hintaa (he lisäävät maksunsa meidän hintaan) tai voit joutua huijauksen uhriksi.
Uhan luoma tekstitiedosto sisältää seuraavan viestin:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
