Ransomware Mango

Il Mango Ransomware è stato identificato come un programma minaccioso dagli esperti di sicurezza informatica. Questo software insidioso utilizza una strategia di crittografia dei file sul dispositivo compromesso e successivamente richiede il pagamento per la loro decrittografia. Una volta avviato sul sistema di destinazione, Mango Ransomware avvia il processo di crittografia, modificando i nomi file originali dei file in questione.

A questi nomi di file Mango aggiunge un ID distintivo assegnato alla vittima, l'indirizzo e-mail del criminale informatico responsabile e l'estensione ".mango". A titolo illustrativo, un file originariamente etichettato come "1.doc" si trasforma in "1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'

Al completamento del processo di crittografia, il malware genera due richieste di riscatto. Una di queste note appare come una finestra pop-up intitolata "info.hta", mentre l'altra è un file di testo denominato "info.txt". Questi file vengono depositati sul desktop e distribuiti in tutte le directory in cui è stata eseguita la crittografia. È interessante notare che Mango Ransomware appartiene alla famiglia Phobos Ransomware , riflettendo una categorizzazione più ampia nel panorama dei software non sicuri.

La richiesta di riscatto lasciata alle vittime del ransomware Mango

Il contenuto all'interno del file di testo comunica che i file resi inaccessibili sono stati sottoposti a crittografia, sottolineando la necessità che la vittima stabilisca un contatto con gli aggressori per facilitare il processo di decrittazione.

Ampliando le informazioni, il messaggio pop-up approfondisce le specifiche dell'infezione ransomware. Chiarisce che il recupero dei file crittografati richiede il pagamento di un riscatto. L’importo del riscatto dipende presumibilmente dalla rapidità con cui la vittima raggiunge i criminali informatici. È importante sottolineare che il pagamento deve essere effettuato in Bitcoin, una forma di criptovaluta.

Prima di accettare le richieste di riscatto, alla vittima viene concessa l'opportunità di testare il processo di decrittazione su tre file interessati, soggetto a determinate specifiche. Allo stesso tempo, viene emesso un avviso cautelativo, sconsigliando alla vittima qualsiasi modifica ai file bloccati, dall'uso di strumenti di decrittazione di terze parti e chiedendo assistenza a parti esterne. Ciò sottolinea la natura critica del rispetto delle istruzioni specificate per ottimizzare le possibilità di successo del ripristino dei file entro i parametri impostati dagli aggressori.

Capacità minacciose della minaccia ransomware Mango

Mango, classificato come variante all'interno della famiglia Phobos, appartiene a un gruppo di sofisticate minacce malware. Le caratteristiche del malware della famiglia Phobos lo differenziano evitando strategicamente di rendere non operativi i sistemi infetti, lasciando i file cruciali non crittografati per mantenere la funzionalità del sistema. Questa variante del ransomware è in grado di crittografare sia i file locali che quelli condivisi in rete.

Per garantire una crittografia efficace, Phobos Ransomware termina i processi associati a file che potrebbero essere considerati "in uso" o aperti attivamente, come quelli nei lettori di file di testo o nei programmi di database. L'intenzione è impedire esenzioni basate sullo stato attivo dei file durante la crittografia.

Anche se i programmi Phobos mirano a ridurre la probabilità di doppia crittografia risparmiando i file bloccati da altri ransomware, questo approccio presenta dei limiti intrinseci. Si basa su un elenco di ransomware predeterminato che, per sua natura, non può comprendere tutte le potenziali variazioni e combinazioni.

Per impedire gli sforzi di recupero dei dati, il malware elimina le copie shadow del volume. Inoltre, Phobos include una funzionalità di geolocalizzazione, che gli consente di raccogliere dati e determinare se procedere con la crittografia in base a fattori quali la forza economica o considerazioni geopolitiche.

I programmi ransomware come Phobos utilizzano molteplici tecniche per garantire la persistenza. Ciò include la copia di se stessi su percorsi specifici e la registrazione con le chiavi Esegui per la funzionalità di avvio automatico dopo il riavvio del sistema.

La decrittazione senza il coinvolgimento degli aggressori è raramente fattibile, tranne nei casi in cui il ransomware presenta gravi difetti. Nonostante soddisfino le richieste di riscatto, le vittime spesso non ricevono gli strumenti di decrittazione promessi. Pertanto, il pagamento del riscatto è fortemente sconsigliato, in quanto non garantisce il recupero dei dati né impedisce il sostegno ad attività criminali.

Per contrastare ulteriori crittografie, è fondamentale rimuovere Mango Ransomware dal sistema operativo. Tuttavia, è fondamentale notare che il processo di rimozione non ripristina i file già compromessi dal ransomware. Ciò diminuisce l’importanza di misure preventive e pratiche di sicurezza complete per ridurre al minimo l’impatto di minacce malware così sofisticate.

L'intero testo della richiesta di riscatto generata da Mango Ransomware è:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Come ottenere Bitcoin
Il modo più semplice per acquistare bitcoin è il sito LocalBitcoins. Devi registrarti, fare clic su "Acquista bitcoin" e selezionare il venditore in base al metodo di pagamento e al prezzo.
hxxps://localbitcoins.com/buy_bitcoins
Inoltre puoi trovare altri posti dove acquistare Bitcoin e una guida per principianti qui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Attenzione!
Non rinominare i file crittografati.
Non tentare di decrittografare i tuoi dati utilizzando software di terze parti, potrebbe causare la perdita permanente dei dati.
La decrittazione dei tuoi file con l'aiuto di terze parti potrebbe causare un aumento del prezzo (aggiungono la loro tariffa alla nostra) o potresti diventare vittima di una truffa.'

Il file di testo creato dalla minaccia contiene il seguente messaggio:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'