Mango Ransomware

A Mango Ransomware-t a kiberbiztonsági szakértők fenyegető programként azonosították. Ez az alattomos szoftver azt a stratégiát alkalmazza, hogy titkosítja a feltört eszközön lévő fájlokat, majd fizetést követel azok visszafejtéséért. Miután elindították a megcélzott rendszeren, a Mango Ransomware megkezdi a titkosítási folyamatot, módosítva a kérdéses fájlok eredeti fájlnevét.

Ezekhez a fájlnevekhez a Mango hozzáfűzi az áldozathoz rendelt megkülönböztető azonosítót, a felelős kiberbűnöző e-mail címét és egy „.mango” kiterjesztést. Szemléltető példaként az eredetileg „1.doc” címkével ellátott fájl „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango” formátumba alakul át.

A titkosítási folyamat befejeztével a kártevő két váltságdíjat generál. Az egyik ilyen megjegyzés „info.hta” elnevezésű felugró ablakként jelenik meg, míg a másik egy „info.txt” nevű szövegfájl. Ezeket a fájlokat a rendszer az asztalra helyezi, és elosztja az összes olyan könyvtárban, ahol a titkosítás megtörtént. Figyelemre méltó, hogy a Mango Ransomware a Phobos Ransomware családhoz tartozik, ami a nem biztonságos szoftverek tágabb kategorizálását tükrözi.

A Mango Ransomware áldozatainak hagyott Váltságdíjat

A szöveges fájl tartalma azt jelzi, hogy a hozzáférhetetlenné vált fájlok titkosításon estek át, hangsúlyozva, hogy az áldozatnak kapcsolatba kell lépnie a támadókkal a visszafejtési folyamat megkönnyítése érdekében.

Az információkat kibővítve a felugró üzenet a ransomware fertőzés sajátosságaiba nyúlik bele. Egyértelművé teszi, hogy a titkosított fájlok visszaállításához váltságdíj fizetésére van szükség. A váltságdíj összege állítólag attól függ, hogy az áldozat milyen gyorsan jut el a kiberbűnözőkhöz. Fontos, hogy a fizetést Bitcoinban, egy kriptovaluta formájában kell teljesíteni.

Mielőtt belenyugszik a váltságdíj követelésébe, az áldozat lehetőséget kap arra, hogy tesztelje a visszafejtési folyamatot három érintett fájlon, bizonyos előírásoknak megfelelően. Ezzel egyidejűleg figyelmeztető jelzést adnak ki, amely figyelmezteti az áldozatot, hogy ne módosítsa a zárolt fájlokat, ne használjon harmadik féltől származó visszafejtő eszközöket, és kérjen segítséget külső felektől. Ez aláhúzza a megadott utasítások betartásának kritikus jellegét a sikeres fájl-helyreállítás esélyeinek optimalizálása érdekében a támadók által beállított paramétereken belül.

A Mango Ransomware veszély fenyegető képességei

A Phobos család egyik változataként besorolt Mango a kifinomult rosszindulatú programok csoportjába tartozik. A Phobos család rosszindulatú programjai azáltal különböztetik meg őket, hogy stratégiailag elkerülik a fertőzött rendszerek működésképtelenné tételét, és a kulcsfontosságú fájlokat titkosítatlanul hagyják a rendszer működésének fenntartásához. Ez a ransomware változat képes mind a helyi, mind a hálózaton megosztott fájlok titkosítására.

A hatékony titkosítás biztosítása érdekében a Phobos Ransomware leállítja a „használatban” vagy aktívan megnyitott fájlokhoz kapcsolódó folyamatokat, például a szövegfájl-olvasókban vagy az adatbázis-programokban. A cél az, hogy megakadályozzák a fájlok titkosítás közbeni aktív állapotán alapuló mentességeket.

Míg a Phobos programok célja a kettős titkosítás valószínűségének csökkentése azáltal, hogy kíméli a más zsarolóvírusok által zárolt fájlokat, ennek a megközelítésnek vannak korlátai. Egy előre meghatározott ransomware listára támaszkodik, amely természeténél fogva nem ölel fel minden lehetséges változatot és kombinációt.

Az adat-helyreállítási erőfeszítések akadályozása érdekében a rosszindulatú program törli a Shadow Volume Copies-t. Ezenkívül a Phobos tartalmaz egy földrajzi helymeghatározási funkciót is, amely lehetővé teszi az adatok gyűjtését, és annak meghatározását, hogy folytassa-e a titkosítást olyan tényezők alapján, mint a gazdasági erő vagy a geopolitikai megfontolások.

A zsarolóprogramok, mint például a Phobos, többféle technikát alkalmaznak a tartósság biztosítására. Ez magában foglalja önmaguk másolását meghatározott elérési utakba, és a Futtatás kulcsokkal való regisztrációt a rendszer újraindítását követő automatikus indítási funkciókhoz.

A visszafejtés a támadók bevonása nélkül ritkán kivitelezhető, kivéve azokat az eseteket, amikor a zsarolóprogram súlyos hibákat mutat. Annak ellenére, hogy teljesítik a váltságdíjat, az áldozatok gyakran nem kapják meg a megígért visszafejtő eszközöket. Ezért a váltságdíj kifizetése erősen ellenjavallt, mivel nem garantálja az adatok visszaszerzését, és nem akadályozza meg a bűncselekmények támogatását.

A további titkosítások meghiúsításához elengedhetetlen a Mango Ransomware eltávolítása az operációs rendszerből. Fontos azonban megjegyezni, hogy az eltávolítási folyamat nem állítja vissza a zsarolóprogram által már feltört fájlokat. Ez csökkenti a megelőző intézkedések és az átfogó biztonsági gyakorlatok jelentőségét az ilyen kifinomult rosszindulatú programok hatásának minimalizálása érdekében.

A Mango Ransomware által generált váltságdíj teljes szövege a következő:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hogyan szerezzünk Bitcoint
A legegyszerűbb módja a bitcoin vásárlásának a LocalBitcoins oldalon. Regisztrálnia kell, kattintson a "Bitcoin vásárlása" gombra, és válassza ki az eladót fizetési mód és ár alapján.
hxxps://localbitcoins.com/buy_bitcoins
Itt találhat más Bitcoin-vásárlási helyeket és kezdőknek szóló útmutatót is:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Figyelem!
Ne nevezze át a titkosított fájlokat.
Ne próbálja meg visszafejteni adatait harmadik féltől származó szoftverrel, mert ez végleges adatvesztést okozhat.
Fájlainak harmadik felek segítségével történő visszafejtése magasabb árat eredményezhet (ők hozzáteszik a díjukat a miénkhez), vagy átverés áldozatává válhat.'

A fenyegetés által létrehozott szövegfájl a következő üzenetet tartalmazza:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'