Mango Ransomware
Stručnjaci za kibernetičku sigurnost identificirali su Mango Ransomware kao prijeteći program. Ovaj podmukli softver koristi strategiju šifriranja datoteka na kompromitiranom uređaju i naknadnog traženja plaćanja za njihovo dešifriranje. Nakon što se pokrene na ciljanom sustavu, Mango Ransomware započinje proces enkripcije, mijenjajući izvorne nazive dotičnih datoteka.
Tim nazivima datoteka Mango dodaje prepoznatljivi ID dodijeljen žrtvi, adresu e-pošte odgovornog kibernetičkog kriminalca i ekstenziju '.mango'. Kao ilustrativni primjer, datoteka izvorno označena kao '1.doc' pretvara se u '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
Nakon završetka procesa enkripcije, zlonamjerni softver generira dvije poruke o otkupnini. Jedna od ovih bilješki pojavljuje se kao skočni prozor pod nazivom 'info.hta', dok je druga tekstualna datoteka pod nazivom 'info.txt'. Te se datoteke pohranjuju na radnu površinu i distribuiraju po svim direktorijima u kojima je došlo do šifriranja. Važno je napomenuti da Mango Ransomware pripada obitelji Phobos Ransomware , odražavajući širu kategorizaciju unutar krajolika nesigurnog softvera.
Poruka o otkupnini ostavljena žrtvama Mango Ransomwarea
Sadržaj unutar tekstualne datoteke poručuje da su datoteke koje su postale nedostupne šifrirane, naglašavajući potrebu da žrtva uspostavi kontakt s napadačima kako bi se olakšao proces dešifriranja.
Proširujući informacije, skočna poruka zaranja u specifičnosti infekcije ransomwareom. Pojašnjava da oporavak šifriranih datoteka zahtijeva plaćanje otkupnine. Iznos te otkupnine navodno ovisi o tome koliko brzo žrtva dođe do kibernetičkih kriminalaca. Važno je da je navedeno da se plaćanje vrši u Bitcoinu, obliku kriptovalute.
Prije nego što prešutno pristane na zahtjeve za otkupninom, žrtva dobiva priliku testirati proces dešifriranja na tri pogođene datoteke, podložno određenim specifikacijama. Istovremeno se izdaje upozoravajuće upozorenje, savjetujući žrtvu da ne mijenja zaključane datoteke, ne koristi alate za dešifriranje trećih strana i ne traži pomoć od vanjskih strana. Ovo naglašava kritičnu prirodu pridržavanja navedenih uputa kako bi se optimizirale šanse za uspješan oporavak datoteke unutar parametara koje su postavili napadači.
Prijeteće mogućnosti Mango Ransomware prijetnje
Mango, kategoriziran kao varijanta unutar obitelji Phobos, pripada skupini sofisticiranih zlonamjernih prijetnji. Karakteristike zlonamjernog softvera obitelji Phobos razlikuju ga po tome što strateški izbjegava da zaražene sustave učini neoperativnim, ostavljajući ključne datoteke nekriptiranima kako bi se održala funkcionalnost sustava. Ova varijanta ransomwarea može šifrirati i lokalne datoteke i one koje se dijele preko mreže.
Kako bi se osigurala učinkovita enkripcija, Phobos Ransomware prekida procese povezane s datotekama koje se mogu smatrati 'u upotrebi' ili aktivno otvorenima, poput onih u čitačima tekstualnih datoteka ili programima baze podataka. Namjera je spriječiti iznimke na temelju aktivnog statusa datoteka tijekom enkripcije.
Dok programi Phobos imaju za cilj smanjiti vjerojatnost dvostruke enkripcije štedeći datoteke zaključane drugim ransomwareom, ovaj pristup ima svojstvena ograničenja. Oslanja se na unaprijed određeni popis ransomwarea koji po svojoj prirodi ne može obuhvatiti sve moguće varijacije i kombinacije.
Kako bi spriječio napore za oporavak podataka, zlonamjerni softver briše Shadow Volume Copies. Dodatno, Phobos uključuje značajku geolokacije, koja mu omogućuje prikupljanje podataka i određivanje hoće li nastaviti s enkripcijom na temelju čimbenika kao što su ekonomska snaga ili geopolitički razlozi.
Ransomware programi poput Phobosa koriste više tehnika kako bi osigurali postojanost. To uključuje njihovo kopiranje na određene staze i registraciju s tipkama Run za funkciju automatskog pokretanja nakon ponovnog pokretanja sustava.
Dešifriranje bez sudjelovanja napadača rijetko je izvedivo, osim u slučajevima kada ransomware pokazuje ozbiljne nedostatke. Unatoč ispunjavanju zahtjeva za otkupninom, žrtve često ne dobiju obećane alate za dešifriranje. Stoga se strogo ne preporučuje plaćanje otkupnine jer ne jamči oporavak podataka niti sprječava podršku kriminalnim aktivnostima.
Kako bi se spriječile daljnje enkripcije, uklanjanje Mango Ransomwarea iz operativnog sustava je imperativ. Međutim, ključno je imati na umu da proces uklanjanja ne vraća datoteke koje je već ugrozio ransomware. To umanjuje važnost preventivnih mjera i sveobuhvatnih sigurnosnih praksi za smanjenje utjecaja takvih sofisticiranih prijetnji od zlonamjernog softvera.
Cijeli tekst poruke o otkupnini koju je generirao Mango Ransomware je:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kako doći do Bitcoina
Najlakši način za kupnju bitcoina je stranica LocalBitcoins. Potrebno je registrirati se, kliknuti 'Kupi bitcoine', te odabrati prodavatelja po načinu plaćanja i cijeni.
hxxps://localbitcoins.com/buy_bitcoins
Također možete pronaći druga mjesta za kupnju Bitcoina i vodič za početnike ovdje:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Pažnja!
Nemojte preimenovati šifrirane datoteke.
Ne pokušavajte dešifrirati svoje podatke pomoću softvera treće strane, to može uzrokovati trajni gubitak podataka.
Dešifriranje vaših datoteka uz pomoć trećih strana može uzrokovati povećanje cijene (oni dodaju svoju naknadu našoj) ili možete postati žrtva prijevare.'
Tekstna datoteka koju je stvorila prijetnja sadrži sljedeću poruku:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
