Mango Ransomware

Mango 랜섬웨어는 사이버 보안 전문가에 의해 위협적인 프로그램으로 식별되었습니다. 이 교활한 소프트웨어는 손상된 장치의 파일을 암호화한 후 해독에 대한 비용을 요구하는 전략을 사용합니다. Mango 랜섬웨어는 대상 시스템에서 시작되면 암호화 프로세스를 시작하여 문제의 파일의 원래 파일 이름을 수정합니다.

이러한 파일 이름에 Mango는 피해자에게 할당된 고유 ID, 사이버 범죄 책임자의 이메일 주소 및 '.mango' 확장자를 추가합니다. 예시로, 원래 '1.doc'라는 라벨이 붙은 파일은 '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango로 변환됩니다.

암호화 프로세스가 완료되면 악성코드는 두 개의 랜섬노트를 생성합니다. 이 메모 중 하나는 'info.hta'라는 제목의 팝업 창으로 나타나고 다른 하나는 'info.txt'라는 이름의 텍스트 파일로 나타납니다. 이러한 파일은 데스크탑에 저장되고 암호화가 발생한 모든 디렉터리에 배포됩니다. Mango 랜섬웨어가 Phobos 랜섬웨어 제품군에 속한다는 점은 주목할 만합니다. 이는 안전하지 않은 소프트웨어 환경 내에서 더 광범위한 분류를 반영합니다.

Mango 랜섬웨어 피해자에게 남긴 몸값 메모

텍스트 파일 내의 콘텐츠는 액세스할 수 없게 된 파일이 암호화되었음을 전달하며, 피해자가 암호 해독 프로세스를 용이하게 하기 위해 공격자와 접촉해야 한다는 점을 강조합니다.

정보를 확장하면 팝업 메시지에서 랜섬웨어 감염의 세부 사항을 자세히 알아볼 수 있습니다. 암호화된 파일을 복구하려면 몸값을 지불해야 함을 명시합니다. 이 몸값의 금액은 피해자가 사이버 범죄자에게 얼마나 신속하게 접근하는지에 따라 결정되는 것으로 알려져 있습니다. 중요한 점은 결제가 암호화폐의 한 형태인 비트코인으로 이루어지도록 지정되어 있다는 것입니다.

몸값 요구를 받아들이기 전에 피해자에게는 특정 사양에 따라 영향을 받은 파일 3개에 대한 암호 해독 프로세스를 테스트할 수 있는 기회가 부여됩니다. 동시에, 피해자에게 잠긴 파일 수정, 제3자 암호 해독 도구 사용, 외부 당사자의 지원 요청에 대해 경고하는 주의 경고가 발행됩니다. 이는 공격자가 설정한 매개변수 내에서 성공적인 파일 복구 가능성을 최적화하기 위해 지정된 지침을 준수하는 것이 중요하다는 점을 강조합니다.

Mango 랜섬웨어 위협의 위협적인 기능

Phobos 계열의 변종으로 분류되는 Mango는 정교한 악성 코드 위협 그룹에 속합니다. Phobos 계열 악성 코드의 특징은 감염된 시스템이 작동하지 않게 만드는 것을 전략적으로 방지하고 시스템 기능을 유지하기 위해 중요한 파일을 암호화되지 않은 상태로 두는 방식으로 차별화됩니다. 이 랜섬웨어 변종은 로컬 파일과 네트워크를 통해 공유되는 파일을 모두 암호화할 수 있습니다.

효과적인 암호화를 보장하기 위해 Phobos 랜섬웨어는 텍스트 파일 판독기나 데이터베이스 프로그램과 같이 '사용 중'으로 간주되거나 활발하게 열려 있는 파일과 관련된 프로세스를 종료합니다. 이는 암호화 중에 파일의 활성 상태에 따라 예외를 방지하는 것입니다.

Phobos 프로그램은 다른 랜섬웨어에 의해 잠긴 파일을 절약하여 이중 암호화 가능성을 줄이는 것을 목표로 하지만 이 접근 방식에는 본질적인 한계가 있습니다. 이는 본질적으로 모든 잠재적 변형과 조합을 포괄할 수 없는 미리 결정된 랜섬웨어 목록에 의존합니다.

데이터 복구 노력을 방해하기 위해 악성코드는 쉐도우 볼륨 복사본을 삭제합니다. 또한 Phobos에는 지리적 위치 기능이 포함되어 있어 데이터를 수집하고 경제적 강점이나 지정학적 고려 사항과 같은 요소를 기반으로 암호화 진행 여부를 결정할 수 있습니다.

Phobos와 같은 랜섬웨어 프로그램은 지속성을 보장하기 위해 다양한 기술을 사용합니다. 여기에는 특정 경로에 자신을 복사하고 시스템 재부팅 후 자동 시작 기능을 위해 실행 키를 등록하는 것이 포함됩니다.

랜섬웨어에 심각한 결함이 있는 경우를 제외하고는 공격자의 개입 없이 암호를 해독하는 것은 거의 불가능합니다. 몸값 요구 사항을 충족했음에도 불구하고 피해자는 약속된 암호 해독 도구를 받지 못하는 경우가 많습니다. 따라서 몸값을 지불하는 것은 데이터 복구를 보장하지 않으며 범죄 활동 지원을 방지하지 못하므로 권장되지 않습니다.

추가 암호화를 방지하려면 운영 체제에서 Mango 랜섬웨어를 제거하는 것이 필수적입니다. 그러나 제거 프로세스는 랜섬웨어에 의해 이미 손상된 파일을 복원하지 않는다는 점에 유의하는 것이 중요합니다. 이로 인해 정교한 악성 코드 위협의 영향을 최소화하기 위한 예방 조치와 포괄적인 보안 관행의 중요성이 줄어듭니다.

Mango 랜섬웨어가 생성한 랜섬노트의 전체 텍스트는 다음과 같습니다.

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

비트코인을 얻는 방법
비트코인을 구매하는 가장 쉬운 방법은 LocalBitcoins 사이트입니다. 등록하고 '비트코인 구매'를 클릭한 후 결제 방법과 가격으로 판매자를 선택해야 합니다.
hxxps://localbitcoins.com/buy_bitcoins
또한 여기에서 비트코인 및 초보자 가이드를 구매할 수 있는 다른 장소를 찾을 수 있습니다.
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

주목!
암호화된 파일의 이름을 바꾸지 마십시오.
타사 소프트웨어를 사용하여 데이터의 암호를 해독하려고 시도하지 마십시오. 영구적인 데이터 손실이 발생할 수 있습니다.
제3자의 도움을 받아 귀하의 파일을 해독하면 가격이 인상되거나(제3자의 수수료가 당사에 추가됨) 귀하가 사기의 피해자가 될 수 있습니다.'

위협으로 인해 생성된 텍스트 파일에는 다음 메시지가 포함되어 있습니다.

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'