Multi-License Discount Quote
Grėsmių duomenų bazė Ransomware Mango Ransomware

Mango Ransomware

Autorius Mezo, Ransomware
Versti į:
Lietuvių

Kibernetinio saugumo ekspertai „Mango Ransomware“ nustatė kaip grėsmingą programą. Ši klastinga programinė įranga naudoja strategiją, pagal kurią šifruojami pažeistame įrenginyje esantys failai ir vėliau reikalaujama sumokėti už jų iššifravimą. Pradėjus naudoti tikslinėje sistemoje, „Mango Ransomware“ pradeda šifravimo procesą, pakeisdamas pirminius atitinkamų failų pavadinimus.

Prie šių failų pavadinimų „Mango“ prideda skiriamąjį aukai priskirtą ID, atsakingo kibernetinio nusikaltėlio el. pašto adresą ir plėtinį „.mango“. Kaip iliustruojamas pavyzdys: failas, iš pradžių pažymėtas „1.doc“, paverčiamas į „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango“.

Užbaigus šifravimo procesą, kenkėjiška programa sugeneruoja du išpirkos raštelius. Viena iš šių pastabų rodoma kaip iššokantis langas pavadinimu „info.hta“, o kitas yra tekstinis failas pavadinimu „info.txt“. Šie failai deponuojami darbalaukyje ir paskirstomi visuose kataloguose, kuriuose įvyko šifravimas. Pažymėtina, kad „Mango Ransomware“ priklauso „Phobos Ransomware“ šeimai, atspindinčia platesnę nesaugios programinės įrangos klasifikaciją.

Išpirkos raštas paliktas Mango Ransomware aukoms

Teksto failo turinys praneša, kad nepasiekiami failai buvo užšifruoti, pabrėžiant, kad aukai turi užmegzti ryšį su užpuolikais, kad būtų lengviau iššifruoti.

Išplečiant informaciją, iššokančiame pranešime gilinamasi į išpirkos programinės įrangos infekcijos specifiką. Jame paaiškinama, kad norint atkurti užšifruotus failus, reikia sumokėti išpirką. Šios išpirkos suma tariamai priklauso nuo to, kaip greitai auka susisiekia su elektroniniais nusikaltėliais. Svarbu tai, kad mokėjimas nurodytas atlikti Bitcoin, kriptovaliutos forma.

Prieš sutinkant su išpirkos reikalavimais, aukai suteikiama galimybė išbandyti trijų paveiktų failų iššifravimo procesą, atsižvelgiant į tam tikras specifikacijas. Kartu pateikiamas įspėjamasis įspėjimas, įspėjantis auką nekeisti užrakintų failų, nenaudoti trečiųjų šalių iššifravimo įrankių ir kreiptis pagalbos į išorines šalis. Tai pabrėžia kritinį nurodytų instrukcijų laikymosi pobūdį, siekiant optimizuoti sėkmingo failo atkūrimo tikimybę pagal užpuoliko nustatytus parametrus.

Grėsmingos „Mango Ransomware“ grėsmės galimybės

Mango, priskirtas Phobos šeimos variantui, priklauso sudėtingų kenkėjiškų programų grėsmių grupei. Phobos šeimos kenkėjiškų programų ypatybės ją išskiria, nes strategiškai išvengiama užkrėstų sistemų neveikimo, o svarbiausi failai paliekami neužšifruoti, kad būtų išlaikytas sistemos funkcionalumas. Šis „ransomware“ variantas gali užšifruoti tiek vietinius, tiek tinkle bendrinamus failus.

Siekdama užtikrinti veiksmingą šifravimą, „Phobos Ransomware“ nutraukia procesus, susijusius su failais, kurie gali būti laikomi „naudojamais“ arba aktyviai atidaromi, pvz., esantys tekstinių failų skaitytuvuose arba duomenų bazių programose. Siekiama išvengti išimčių, pagrįstų aktyvia failų būsena šifravimo metu.

Nors Phobos programos siekia sumažinti dvigubo šifravimo tikimybę tausodamos failus, užrakintus kitų išpirkos reikalaujančių programų, šis metodas turi tam tikrų apribojimų. Jis remiasi iš anksto nustatytu išpirkos reikalaujančių programų sąrašu, kuris dėl savo pobūdžio negali apimti visų galimų variantų ir derinių.

Siekdama apsunkinti duomenų atkūrimo pastangas, kenkėjiška programa ištrina šešėlines tūrio kopijas. Be to, „Phobos“ apima geografinės vietos nustatymo funkciją, leidžiančią rinkti duomenis ir nuspręsti, ar tęsti šifravimą, remiantis tokiais veiksniais kaip ekonominė galia ar geopolitiniai sumetimai.

Išpirkos reikalaujančiose programose, tokiose kaip „Phobos“, naudojami keli būdai, užtikrinantys patvarumą. Tai apima savęs nukopijavimą į konkrečius kelius ir registravimąsi naudojant „Run“ klavišus, kad būtų galima automatiškai paleisti po sistemos paleidimo iš naujo.

Iššifruoti nedalyvaujant užpuolikams įmanoma retai, išskyrus atvejus, kai išpirkos reikalaujančioje programoje yra didelių trūkumų. Nepaisant išpirkos reikalavimų, aukos dažnai negauna pažadėtų iššifravimo įrankių. Todėl mokėti išpirką griežtai nerekomenduojama, nes tai negarantuoja duomenų atkūrimo ir netrukdo remti nusikalstamą veiklą.

Norint sutrukdyti tolesniam šifravimui, būtina pašalinti Mango Ransomware iš operacinės sistemos. Tačiau labai svarbu pažymėti, kad pašalinimo procesas neatkuria failų, kuriems jau buvo pakenkta išpirkos reikalaujančios programos. Tai sumažina prevencinių priemonių ir visapusiškos saugos praktikos svarbą, siekiant sumažinti tokių sudėtingų kenkėjiškų programų grėsmių poveikį.

Visas „Mango Ransomware“ sugeneruotas išpirkos rašto tekstas yra toks:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Kaip gauti Bitcoins
Lengviausias būdas nusipirkti bitkoinų yra „LocalBitcoins“ svetainė. Turite užsiregistruoti, paspausti „Pirkti bitkoinus“ ir pasirinkti pardavėją pagal mokėjimo būdą ir kainą.
hxxps://localbitcoins.com/buy_bitcoins
Čia taip pat galite rasti kitų vietų, kur galite nusipirkti Bitcoins, ir pradedančiųjų vadovą:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dėmesio!
Nepervardykite užšifruotų failų.
Nebandykite iššifruoti savo duomenų naudodami trečiosios šalies programinę įrangą, nes tai gali sukelti nuolatinį duomenų praradimą.
Iššifravus failus su trečiųjų šalių pagalba, gali padidėti kaina (jie prideda savo mokestį prie mūsų) arba galite tapti sukčiavimo auka.

Grėsmės sukurtame tekstiniame faile yra toks pranešimas:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'

Tendencijos

Labiausiai žiūrima

„Geek Squad“ el. pašto sukčiavimas

Phishing, Spam
28,684
„Geek Squad“, populiarus techninės pagalbos teikėjas, tapo sukčiavimo sukčiavimo, vadinamo „Geek Squad“ el. pašto sukčiavimu, auka. Ši techninės pagalbos afera naudoja netikrus el. laiškus, kurie apgaudinėja žmones, kad jie atskleistų savo asmeninę informaciją, pvz., kredito kortelės duomenis, el. pašto adresus ir net socialinio draudimo numerius. Šiame straipsnyje aptarsime patį sukčiavimą,...
Įkeliama...