Mango Ransomware

Mango Ransomware har blitt identifisert som et truende program av cybersikkerhetseksperter. Denne lumske programvaren bruker en strategi for å kryptere filer på den kompromitterte enheten og deretter kreve betaling for dekrypteringen. Når den er initiert på det målrettede systemet, begynner Mango Ransomware krypteringsprosessen, og endrer de originale filnavnene til de aktuelle filene.

Til disse filnavnene legger Mango til en særegen ID som er tildelt offeret, e-postadressen til den nettkriminelle ansvarlige og en ".mango"-utvidelse. Som et illustrerende eksempel, en fil opprinnelig merket '1.doc' transformeres til '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'

Når krypteringsprosessen er fullført, genererer skadevaren to løsepenger. Ett av disse notatene vises som et popup-vindu med tittelen 'info.hta', mens det andre er en tekstfil kalt 'info.txt'. Disse filene settes inn på skrivebordet og distribueres på tvers av alle kataloger der kryptering har skjedd. Det er bemerkelsesverdig at Mango Ransomware tilhører Phobos Ransomware- familien, noe som gjenspeiler en bredere kategorisering innenfor landskapet av usikker programvare.

Løsepengenotatet overlatt til ofrene for Mango Ransomware

Innholdet i tekstfilen kommuniserer at filene som er gjort utilgjengelige har gjennomgått kryptering, noe som understreker behovet for at offeret etablerer kontakt med angriperne for å lette dekrypteringsprosessen.

Utvider informasjonen, dykker popup-meldingen inn i detaljene rundt løsepengevareinfeksjonen. Den klargjør at gjenoppretting av de krypterte filene krever betaling av løsepenger. Mengden av denne løsepenger er angivelig avhengig av hvor raskt offeret når ut til nettkriminelle. Viktigere er at betalingen er spesifisert for å gjøres i Bitcoin, en form for kryptovaluta.

Før offeret samtykker til løsepengekravene, får offeret muligheten til å teste dekrypteringsprosessen på tre berørte filer, underlagt visse spesifikasjoner. Samtidig utstedes en advarsel, som advarer offeret mot eventuelle modifikasjoner av de låste filene, bruk av tredjeparts dekrypteringsverktøy og søker hjelp fra eksterne parter. Dette understreker den kritiske karakteren av å følge de spesifiserte instruksjonene for å optimalisere sjansene for vellykket filgjenoppretting innenfor parametrene satt av angriperne.

Truende evner til Mango Ransomware-trussel

Mango, kategorisert som en variant i Phobos-familien, tilhører en gruppe sofistikerte trusler mot skadelig programvare. Egenskapene til programvare fra Phobos-familien skiller den ved å strategisk unngå å gjøre infiserte systemer ikke-operative, og etterlate viktige filer ukrypterte for å opprettholde systemfunksjonalitet. Denne løsepengevarevarianten er i stand til å kryptere både lokale filer og de som deles over et nettverk.

For å sikre effektiv kryptering, avslutter Phobos Ransomware prosesser knyttet til filer som kan anses som "i bruk" eller aktivt åpne, for eksempel de i tekstfillesere eller databaseprogrammer. Hensikten er å forhindre unntak basert på filenes aktive status under kryptering.

Mens Phobos-programmer tar sikte på å redusere sannsynligheten for dobbel kryptering ved å spare filer som er låst av annen løsepengevare, har denne tilnærmingen iboende begrensninger. Den er avhengig av en forhåndsbestemt løsepengevareliste, som i sin natur ikke kan omfatte alle potensielle variasjoner og kombinasjoner.

For å hindre datagjenoppretting, sletter skadelig programvare Shadow Volume Copies. I tillegg inkluderer Phobos en geolokaliseringsfunksjon, som lar den samle inn data og bestemme om den skal fortsette med kryptering basert på faktorer som økonomisk styrke eller geopolitiske hensyn.

Ransomware-programmer som Phobos bruker flere teknikker for å sikre utholdenhet. Dette inkluderer å kopiere seg selv til bestemte stier og registrere seg med Kjør-nøkler for automatisk startfunksjonalitet etter omstart av systemet.

Dekryptering uten involvering av angriperne er sjelden mulig, bortsett fra i tilfeller der løsepengevaren viser alvorlige feil. Til tross for at de oppfyller krav om løsepenger, mottar ofre ofte ikke de lovede dekrypteringsverktøyene. Derfor frarådes det på det sterkeste å betale løsepenger, da det verken garanterer datagjenoppretting eller forhindrer støtte fra kriminelle aktiviteter.

For å hindre ytterligere krypteringer, er det avgjørende å fjerne Mango Ransomware fra operativsystemet. Det er imidlertid viktig å merke seg at fjerningsprosessen ikke gjenoppretter filer som allerede er kompromittert av løsepengevaren. Dette reduserer viktigheten av forebyggende tiltak og omfattende sikkerhetspraksis for å minimere virkningen av slike sofistikerte skadevaretrusler.

Hele teksten til løsepengenotatet generert av Mango Ransomware er:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hvordan få tak i Bitcoins
Den enkleste måten å kjøpe bitcoins på er LocalBitcoins-siden. Du må registrere deg, klikke 'Kjøp bitcoins' og velge selger etter betalingsmetode og pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan også finne andre steder å kjøpe Bitcoins og nybegynnerguide her:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Merk følgende!
Ikke gi nytt navn til krypterte filer.
Ikke prøv å dekryptere dataene dine ved hjelp av tredjepartsprogramvare, det kan føre til permanent tap av data.
Dekryptering av filene dine ved hjelp av tredjeparter kan føre til økte priser (de legger til gebyret vårt) eller du kan bli et offer for en svindel.'

Tekstfilen opprettet av trusselen inneholder følgende melding:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'