Mango Ransomware

मैंगो रैनसमवेयर की पहचान साइबर सुरक्षा विशेषज्ञों द्वारा एक धमकी भरे कार्यक्रम के रूप में की गई है। यह कपटी सॉफ़्टवेयर समझौता किए गए डिवाइस पर फ़ाइलों को एन्क्रिप्ट करने और बाद में उनके डिक्रिप्शन के लिए भुगतान की मांग करने की रणनीति अपनाता है। एक बार लक्षित सिस्टम पर आरंभ होने के बाद, मैंगो रैनसमवेयर एन्क्रिप्शन प्रक्रिया शुरू करता है, जो संबंधित फ़ाइलों के मूल फ़ाइल नामों को संशोधित करता है।

इन फ़ाइल नामों में, मैंगो पीड़ित को सौंपी गई एक विशिष्ट आईडी, जिम्मेदार साइबर अपराधी का ईमेल पता और एक '.mango' एक्सटेंशन जोड़ता है। उदाहरण के तौर पर, मूल रूप से '1.doc' लेबल वाली फ़ाइल '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango' में बदल जाती है।

एन्क्रिप्शन प्रक्रिया पूरी होने पर, मैलवेयर दो फिरौती नोट उत्पन्न करता है। इनमें से एक नोट 'info.hta' नामक पॉप-अप विंडो के रूप में दिखाई देता है, जबकि दूसरा 'info.txt' नामक एक टेक्स्ट फ़ाइल के रूप में दिखाई देता है। ये फ़ाइलें डेस्कटॉप पर जमा की जाती हैं और उन सभी निर्देशिकाओं में वितरित की जाती हैं जहां एन्क्रिप्शन हुआ है। यह उल्लेखनीय है कि मैंगो रैनसमवेयर फोबोस रैनसमवेयर परिवार से संबंधित है, जो असुरक्षित सॉफ़्टवेयर के परिदृश्य में व्यापक वर्गीकरण को दर्शाता है।

Mango Ransomware के पीड़ितों के लिए छोड़ा गया रैनसम नोट

टेक्स्ट फ़ाइल के भीतर की सामग्री बताती है कि पहुंच से बाहर की गई फ़ाइलें एन्क्रिप्शन से गुज़री हैं, जिससे पीड़ित को डिक्रिप्शन प्रक्रिया को सुविधाजनक बनाने के लिए हमलावरों के साथ संपर्क स्थापित करने की आवश्यकता पर बल दिया गया है।

जानकारी का विस्तार करते हुए, पॉप-अप संदेश रैंसमवेयर संक्रमण की बारीकियों पर प्रकाश डालता है। यह स्पष्ट करता है कि एन्क्रिप्टेड फ़ाइलों को पुनर्प्राप्त करने के लिए फिरौती के भुगतान की आवश्यकता होती है। इस फिरौती की रकम कथित तौर पर इस बात पर निर्भर करती है कि पीड़ित कितनी तेजी से साइबर अपराधियों तक पहुंचता है। महत्वपूर्ण बात यह है कि भुगतान बिटकॉइन में किया जाना निर्दिष्ट है, जो क्रिप्टोकरेंसी का एक रूप है।

फिरौती की मांग को स्वीकार करने से पहले, पीड़ित को कुछ विशिष्टताओं के अधीन, तीन प्रभावित फाइलों पर डिक्रिप्शन प्रक्रिया का परीक्षण करने का अवसर दिया जाता है। इसके साथ ही, एक चेतावनी जारी की जाती है, जिसमें पीड़ित को लॉक की गई फ़ाइलों में किसी भी संशोधन, तीसरे पक्ष के डिक्रिप्शन टूल के उपयोग और बाहरी पक्षों से सहायता मांगने की सलाह दी जाती है। यह हमलावरों द्वारा निर्धारित मापदंडों के भीतर सफल फ़ाइल पुनर्प्राप्ति की संभावनाओं को अनुकूलित करने के लिए निर्दिष्ट निर्देशों का पालन करने की महत्वपूर्ण प्रकृति को रेखांकित करता है।

Mango Ransomware ख़तरे की ख़तरनाक क्षमताएँ

मैंगो, जिसे फ़ोबोस परिवार के एक संस्करण के रूप में वर्गीकृत किया गया है, परिष्कृत मैलवेयर खतरों के समूह से संबंधित है। फोबोस परिवार के मैलवेयर की विशेषताएं इसे रणनीतिक रूप से संक्रमित सिस्टम को गैर-परिचालन करने से बचाकर अलग करती हैं, जिससे सिस्टम की कार्यक्षमता बनाए रखने के लिए महत्वपूर्ण फाइलें अनएन्क्रिप्टेड रह जाती हैं। यह रैंसमवेयर वैरिएंट स्थानीय फ़ाइलों और नेटवर्क पर साझा की गई फ़ाइलों दोनों को एन्क्रिप्ट करने में सक्षम है।

प्रभावी एन्क्रिप्शन सुनिश्चित करने के लिए, फोबोस रैनसमवेयर उन फ़ाइलों से जुड़ी प्रक्रियाओं को समाप्त कर देता है जिन्हें 'उपयोग में' या सक्रिय रूप से खुला माना जा सकता है, जैसे कि टेक्स्ट फ़ाइल रीडर या डेटाबेस प्रोग्राम में। इरादा एन्क्रिप्शन के दौरान फ़ाइलों की सक्रिय स्थिति के आधार पर छूट को रोकना है।

जबकि फ़ोबोस प्रोग्राम का लक्ष्य अन्य रैंसमवेयर द्वारा लॉक की गई फ़ाइलों को बचाकर दोहरे एन्क्रिप्शन की संभावना को कम करना है, इस दृष्टिकोण में अंतर्निहित सीमाएँ हैं। यह एक पूर्वनिर्धारित रैंसमवेयर सूची पर निर्भर करता है, जो अपनी प्रकृति से, सभी संभावित विविधताओं और संयोजनों को शामिल नहीं कर सकती है।

डेटा पुनर्प्राप्ति प्रयासों को बाधित करने के लिए, मैलवेयर शैडो वॉल्यूम प्रतियों को हटा देता है। इसके अतिरिक्त, फोबोस में एक जियोलोकेशन सुविधा शामिल है, जो इसे डेटा एकत्र करने और यह निर्धारित करने की अनुमति देती है कि आर्थिक ताकत या भू-राजनीतिक विचारों जैसे कारकों के आधार पर एन्क्रिप्शन के साथ आगे बढ़ना है या नहीं।

फ़ोबोस जैसे रैंसमवेयर प्रोग्राम दृढ़ता सुनिश्चित करने के लिए कई तकनीकों का उपयोग करते हैं। इसमें स्वयं को विशिष्ट पथों पर कॉपी करना और सिस्टम रीबूट के बाद ऑटो-स्टार्ट कार्यक्षमता के लिए रन कुंजियों के साथ पंजीकरण करना शामिल है।

हमलावरों की भागीदारी के बिना डिक्रिप्शन शायद ही संभव है, सिवाय उन मामलों को छोड़कर जहां रैंसमवेयर गंभीर खामियां प्रदर्शित करता है। फिरौती की मांग पूरी करने के बावजूद, पीड़ितों को अक्सर वादा किए गए डिक्रिप्शन टूल नहीं मिलते हैं। इसलिए, फिरौती का भुगतान करने को दृढ़ता से हतोत्साहित किया जाता है, क्योंकि यह न तो डेटा पुनर्प्राप्ति की गारंटी देता है और न ही आपराधिक गतिविधियों के समर्थन को रोकता है।

आगे के एन्क्रिप्शन को विफल करने के लिए, ऑपरेटिंग सिस्टम से मैंगो रैनसमवेयर को हटाना अनिवार्य है। हालाँकि, यह ध्यान रखना महत्वपूर्ण है कि हटाने की प्रक्रिया रैंसमवेयर द्वारा पहले से ही समझौता की गई फ़ाइलों को पुनर्स्थापित नहीं करती है। इससे ऐसे परिष्कृत मैलवेयर खतरों के प्रभाव को कम करने के लिए निवारक उपायों और व्यापक सुरक्षा प्रथाओं का महत्व कम हो जाता है।

मैंगो रैनसमवेयर द्वारा उत्पन्न फिरौती नोट का पूरा पाठ इस प्रकार है:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

बिटकॉइन कैसे प्राप्त करें
बिटकॉइन खरीदने का सबसे आसान तरीका LocalBitcoins साइट है। आपको पंजीकरण करना होगा, 'बिटकॉइन खरीदें' पर क्लिक करना होगा, और भुगतान विधि और कीमत के आधार पर विक्रेता का चयन करना होगा।
hxxps://localbitcoins.com/buy_bitcoins
इसके अलावा आप बिटकॉइन खरीदने के लिए अन्य स्थान और शुरुआती गाइड यहां पा सकते हैं:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

ध्यान!
एन्क्रिप्टेड फ़ाइलों का नाम न बदलें.
तीसरे पक्ष के सॉफ़्टवेयर का उपयोग करके अपने डेटा को डिक्रिप्ट करने का प्रयास न करें, इससे स्थायी डेटा हानि हो सकती है।
तीसरे पक्ष की मदद से आपकी फ़ाइलों को डिक्रिप्ट करने से कीमत बढ़ सकती है (वे अपना शुल्क हमारे साथ जोड़ते हैं) या आप किसी घोटाले का शिकार हो सकते हैं।'

खतरे द्वारा बनाई गई टेक्स्ट फ़ाइल में निम्नलिखित संदेश है:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'