Mango Ransomware
תוכנת הכופר של מנגו זוהתה כתוכנית מאיימת על ידי מומחי אבטחת סייבר. תוכנה ערמומית זו משתמשת באסטרטגיה של הצפנת קבצים במכשיר שנפגע ובעקבות כך דורשת תשלום עבור פענוחם. לאחר ההפעלה במערכת הממוקדת, תוכנת הכופר של Mango מתחילה בתהליך ההצפנה, תוך שינוי שמות הקבצים המקוריים של הקבצים המדוברים.
לשמות הקבצים הללו, מנגו מצרפת מזהה ייחודי שהוקצה לקורבן, כתובת האימייל של פושע הסייבר האחראי וסיומת '.mango'. כדוגמה להמחשה, קובץ שכותרתו במקור '1.doc' הופך ל-'1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
עם השלמת תהליך ההצפנה, התוכנה הזדונית מייצרת שני פתקי כופר. אחת מההערות הללו מופיעה כחלון מוקפץ שכותרתו 'info.hta', בעוד שהשנייה היא קובץ טקסט בשם 'info.txt'. קבצים אלה מופקדים על שולחן העבודה ומופצים בכל הספריות שבהן התרחשה הצפנה. ראוי לציין ש-Mango Ransomware שייכת למשפחת Phobos Ransomware , המשקפת סיווג רחב יותר בנוף של תוכנות לא בטוחות.
הערת הכופר שהושארה לקורבנות תוכנת הכופר של מנגו
התוכן בקובץ הטקסט מודיע שהקבצים שהפכו לבלתי נגישים עברו הצפנה, ומדגיש את הצורך של הקורבן ליצור קשר עם התוקפים כדי להקל על תהליך הפענוח.
בהרחבת המידע, ההודעה הקופצת מתעמקת בפרטים הספציפיים של הדבקה בתוכנת הכופר. הוא מבהיר כי שחזור הקבצים המוצפנים מחייב תשלום כופר. סכום הכופר הזה תלוי לכאורה באיזו מהירות הקורבן מושיט יד לעברייני הרשת. חשוב לציין שהתשלום יבוצע בביטקוין, סוג של מטבע קריפטוגרפי.
לפני שייעתר לדרישות הכופר, ניתנת לקורבן ההזדמנות לבדוק את תהליך הפענוח בשלושה קבצים מושפעים, בכפוף למפרטים מסוימים. במקביל, מונפקת אזהרת אזהרה, המייעצת לנפגע מפני כל שינוי בקבצים הנעולים, שימוש בכלי פענוח של צד שלישי ופנייה לסיוע מגורמים חיצוניים. זה מדגיש את האופי הקריטי של הקפדה על ההוראות שצוינו כדי לייעל את הסיכויים לשחזור קבצים מוצלח במסגרת הפרמטרים שנקבעו על ידי התוקפים.
יכולות מאיימות של איום כופר מנגו
מנגו, שמסווג כגרסה בתוך משפחת פובוס, שייך לקבוצה של איומי תוכנות זדוניות מתוחכמים. המאפיינים של תוכנות זדוניות של משפחת Phobos מבדילות אותה על ידי הימנעות אסטרטגית מהפיכת מערכות נגועות ללא תפעוליות, תוך השארת קבצים חיוניים לא מוצפנים כדי לשמור על פונקציונליות המערכת. גרסה זו של תוכנת כופר מסוגלת להצפין הן קבצים מקומיים והן אלה המשותפים ברשת.
כדי להבטיח הצפנה יעילה, תוכנת הכופר של Phobos מפסיקה תהליכים הקשורים לקבצים שעשויים להיחשב 'בשימוש' או פתוחים באופן פעיל, כגון אלה בקוראי קבצי טקסט או תוכניות מסד נתונים. הכוונה היא למנוע פטורים על סמך מצבם הפעיל של הקבצים במהלך ההצפנה.
בעוד שתוכניות Phobos שואפות לצמצם את הסבירות להצפנה כפולה על ידי חסכון בקבצים שננעלו על ידי תוכנות כופר אחרות, לגישה זו יש מגבלות טבועות. היא מסתמכת על רשימת תוכנות כופר קבועה מראש, אשר, מטבעה, אינה יכולה להקיף את כל הווריאציות והשילובים הפוטנציאליים.
כדי למנוע מאמצי שחזור נתונים, התוכנה הזדונית מוחקת את עותקי ה-Shadow Volume. בנוסף, Phobos כולל תכונת מיקום גיאוגרפי, המאפשרת לו לאסוף נתונים ולקבוע אם להמשיך בהצפנה על סמך גורמים כמו חוזק כלכלי או שיקולים גיאופוליטיים.
תוכנות כופר כמו Phobos משתמשות במספר טכניקות כדי להבטיח התמדה. זה כולל העתקה של עצמם לנתיבים ספציפיים ורישום עם מקשי הפעלה לפונקציונליות של הפעלה אוטומטית לאחר אתחולים מחדש של המערכת.
פענוח ללא מעורבות התוקפים אפשרי רק לעתים רחוקות, למעט מקרים בהם תוכנת הכופר מציגה פגמים חמורים. למרות עמידה בדרישות כופר, קורבנות לרוב אינם מקבלים את כלי הפענוח המובטחים. לכן, תשלום הכופר מומלץ מאוד, מכיוון שהוא אינו מבטיח שחזור נתונים ואינו מונע תמיכה בפעילויות פליליות.
כדי לסכל הצפנות נוספות, הסרת תוכנת הכופר של Mango ממערכת ההפעלה היא הכרחית. עם זאת, חשוב לציין שתהליך ההסרה אינו משחזר קבצים שכבר נפגעו על ידי תוכנת הכופר. זה מפחית את החשיבות של אמצעי מניעה ונהלי אבטחה מקיפים כדי למזער את ההשפעה של איומי תוכנות זדוניות מתוחכמים כאלה.
כל הטקסט של פתק הכופר שנוצר על ידי תוכנת הכופר של מנגו הוא:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)איך משיגים ביטקוין
הדרך הקלה ביותר לקנות ביטקוינים היא אתר LocalBitcoins. יש להירשם, ללחוץ על 'קנה ביטקוינים' ולבחור את המוכר לפי אמצעי תשלום ומחיר.
hxxps://localbitcoins.com/buy_bitcoins
כמו כן, אתה יכול למצוא מקומות אחרים לקנות ביטקוין ומדריך למתחילים כאן:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/תשומת הלב!
אל תשנה את שמם של קבצים מוצפנים.
אל תנסה לפענח את הנתונים שלך באמצעות תוכנת צד שלישי, זה עלול לגרום לאובדן נתונים קבוע.
פענוח הקבצים שלך בעזרת צדדים שלישיים עלול לגרום לעלייה במחיר (הם מוסיפים את העמלה שלהם לשלנו) או שאתה יכול להפוך לקורבן של הונאה.'
קובץ הטקסט שנוצר על ידי האיום מכיל את ההודעה הבאה:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
