Mango Ransomware
Kiberdrošības eksperti Mango Ransomware ir identificējuši kā draudošu programmu. Šī mānīgā programmatūra izmanto stratēģiju, lai šifrētu failus apdraudētajā ierīcē un pēc tam pieprasītu samaksu par to atšifrēšanu. Kad Mango Ransomware ir uzsākta mērķa sistēmā, tas sāk šifrēšanas procesu, mainot attiecīgo failu sākotnējos failu nosaukumus.
Šiem failu nosaukumiem Mango pievieno atšķirīgu upurim piešķirto ID, atbildīgā kibernoziedznieka e-pasta adresi un paplašinājumu “.mango”. Piemēram, fails ar sākotnējo apzīmējumu “1.doc” tiek pārveidots par “1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango”.
Pēc šifrēšanas procesa pabeigšanas ļaunprogrammatūra ģenerē divas izpirkuma piezīmes. Viena no šīm piezīmēm parādās kā uznirstošais logs ar nosaukumu "info.hta", bet otra ir teksta fails ar nosaukumu "info.txt". Šie faili tiek noglabāti darbvirsmā un izplatīti visos direktorijos, kur ir notikusi šifrēšana. Jāatzīmē, ka Mango Ransomware pieder Phobos Ransomware saimei, atspoguļojot plašāku nedrošas programmatūras kategoriju.
Izpirkuma piezīme, kas atstāta Mango Ransomware upuriem
Teksta faila saturs informē, ka faili, kas padarīti nepieejami, ir tikuši šifrēti, uzsverot nepieciešamību upurim izveidot kontaktu ar uzbrucējiem, lai atvieglotu atšifrēšanas procesu.
Paplašinot informāciju, uznirstošais ziņojums iedziļinās izspiedējvīrusa infekcijas specifikā. Tajā ir paskaidrots, ka šifrēto failu atkopšanai ir jāmaksā izpirkuma maksa. Šīs izpirkuma summas apmērs it kā ir atkarīgs no tā, cik ātri upuris sazinās ar kibernoziedzniekiem. Svarīgi, ka maksājums ir norādīts kā kriptovalūtas veids Bitcoin.
Pirms piekrišanas izpirkuma prasībām, upurim tiek dota iespēja pārbaudīt atšifrēšanas procesu trīs ietekmētajos failos, ievērojot noteiktas specifikācijas. Vienlaikus tiek izdots brīdinājuma brīdinājums, iesakot cietušajam neveikt jebkādas izmaiņas bloķētajos failos, izmantot trešās puses atšifrēšanas rīkus un meklēt palīdzību no ārējām pusēm. Tas uzsver norādīto instrukciju ievērošanas kritisko raksturu, lai optimizētu veiksmīgas failu atkopšanas iespējas uzbrucēju iestatīto parametru ietvaros.
Mango Ransomware draudu draudošās iespējas
Mango, kas klasificēts kā Phobos saimes variants, pieder pie sarežģītas ļaunprātīgas programmatūras draudu grupas. Phobos ģimenes ļaunprātīgās programmatūras īpašības to atšķir, stratēģiski izvairoties no inficēto sistēmu nedarbošanās, atstājot būtiskos failus nešifrētus, lai uzturētu sistēmas funkcionalitāti. Šis izspiedējprogrammatūras variants spēj šifrēt gan vietējos, gan tīklā kopīgotos failus.
Lai nodrošinātu efektīvu šifrēšanu, Phobos Ransomware pārtrauc procesus, kas saistīti ar failiem, kurus var uzskatīt par “lietotiem” vai aktīvi atvērtiem, piemēram, tiem, kas atrodas teksta failu lasītājos vai datu bāzes programmās. Mērķis ir novērst izņēmumus, pamatojoties uz failu aktīvo statusu šifrēšanas laikā.
Lai gan Phobos programmu mērķis ir samazināt dubultās šifrēšanas iespējamību, saudzējot failus, ko bloķē cita izspiedējvīrusa programmatūra, šai pieejai ir raksturīgi ierobežojumi. Tas balstās uz iepriekš noteiktu izspiedējvīrusu sarakstu, kas pēc savas būtības nevar ietvert visas iespējamās variācijas un kombinācijas.
Lai kavētu datu atkopšanas centienus, ļaunprogrammatūra dzēš ēnu sējuma kopijas. Turklāt Phobos ietver ģeogrāfiskās atrašanās vietas noteikšanas funkciju, kas ļauj tai vākt datus un noteikt, vai turpināt šifrēšanu, pamatojoties uz tādiem faktoriem kā ekonomiskais spēks vai ģeopolitiskie apsvērumi.
Ransomware programmas, piemēram, Phobos, izmanto vairākas metodes, lai nodrošinātu noturību. Tas ietver kopēšanu uz noteiktiem ceļiem un reģistrēšanos ar palaišanas taustiņiem automātiskās palaišanas funkcionalitātei pēc sistēmas atsāknēšanas.
Atšifrēšana bez uzbrucēju iesaistīšanās ir reti iespējama, izņemot gadījumus, kad izspiedējprogrammatūra uzrāda nopietnus trūkumus. Neskatoties uz izpirkuma prasību izpildi, upuri bieži nesaņem solītos atšifrēšanas rīkus. Tāpēc izpirkuma maksu maksāt nav ieteicams, jo tas negarantē datu atgūšanu un neliedz atbalstīt noziedzīgas darbības.
Lai novērstu turpmāku šifrēšanu, Mango Ransomware ir obligāti jānoņem no operētājsistēmas. Tomēr ir ļoti svarīgi ņemt vērā, ka noņemšanas process neatjauno failus, kurus jau ir apdraudējusi izspiedējprogrammatūra. Tas samazina preventīvo pasākumu un visaptverošas drošības prakses nozīmi, lai samazinātu šādu sarežģītu ļaunprātīgas programmatūras draudu ietekmi.
Viss Mango Ransomware ģenerētās izpirkuma naudas teksts ir:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Kā iegūt Bitcoins
Vienkāršākais veids, kā iegādāties bitkoinus, ir vietne LocalBitcoins. Jums ir jāreģistrējas, jānoklikšķina uz 'Pirkt bitcoins' un jāizvēlas pārdevējs pēc maksājuma veida un cenas.
hxxps://localbitcoins.com/buy_bitcoins
Šeit varat atrast arī citas Bitcoin iegādes vietas un iesācēju rokasgrāmatu:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Uzmanību!
Nepārdēvējiet šifrētos failus.
Nemēģiniet atšifrēt savus datus, izmantojot trešās puses programmatūru, jo tas var izraisīt neatgriezenisku datu zudumu.
Jūsu failu atšifrēšana ar trešo pušu palīdzību var paaugstināt cenu (tās pieskaita mūsu maksu), vai arī jūs varat kļūt par krāpniecības upuri.
Draudu izveidotajā teksta failā ir šāds ziņojums:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
