Mango-ransomware

De Mango Ransomware is door cyberbeveiligingsexperts geïdentificeerd als een bedreigend programma. Deze verraderlijke software maakt gebruik van een strategie waarbij de bestanden op het aangetaste apparaat worden gecodeerd en vervolgens betaling wordt geëist voor de decodering ervan. Eenmaal gestart op het beoogde systeem, begint de Mango Ransomware met het coderingsproces, waarbij de originele bestandsnamen van de betreffende bestanden worden gewijzigd.

Aan deze bestandsnamen voegt Mango een onderscheidende ID toe die aan het slachtoffer is toegewezen, het e-mailadres van de verantwoordelijke cybercrimineel en een '.mango'-extensie. Ter illustratie: een bestand dat oorspronkelijk '1.doc' heette, wordt omgezet in '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'

Na voltooiing van het coderingsproces genereert de malware twee losgeldbriefjes. Eén van deze opmerkingen verschijnt als een pop-upvenster met de titel 'info.hta', terwijl de andere een tekstbestand is met de naam 'info.txt'. Deze bestanden worden op het bureaublad geplaatst en verspreid over alle mappen waar codering heeft plaatsgevonden. Het is opmerkelijk dat de Mango Ransomware tot de Phobos Ransomware- familie behoort, wat een bredere categorisering binnen het landschap van onveilige software weerspiegelt.

Het losgeldbriefje voor de slachtoffers van de Mango-ransomware

De inhoud van het tekstbestand communiceert dat de ontoegankelijk gemaakte bestanden versleuteling hebben ondergaan, wat de noodzaak voor het slachtoffer benadrukt om contact op te nemen met de aanvallers om het decoderingsproces te vergemakkelijken.

Het pop-upbericht bouwt voort op de informatie en gaat dieper in op de specifieke kenmerken van de ransomware-infectie. Het verduidelijkt dat het herstellen van de gecodeerde bestanden de betaling van losgeld vereist. Het bedrag van dit losgeld is naar verluidt afhankelijk van hoe snel het slachtoffer contact opneemt met de cybercriminelen. Belangrijk is dat de betaling is gespecificeerd in Bitcoin, een vorm van cryptocurrency.

Voordat het slachtoffer instemt met de losgeldeisen, krijgt het slachtoffer de kans om het decoderingsproces van drie getroffen bestanden te testen, met inachtneming van bepaalde specificaties. Tegelijkertijd wordt er een waarschuwing afgegeven, waarin het slachtoffer wordt geadviseerd tegen eventuele wijzigingen aan de vergrendelde bestanden, het gebruik van decoderingstools van derden en het zoeken naar hulp van externe partijen. Dit onderstreept het cruciale karakter van het naleven van de gespecificeerde instructies om de kansen op succesvol bestandsherstel te optimaliseren binnen de parameters die door de aanvallers zijn ingesteld.

Bedreigende mogelijkheden van de Mango Ransomware-dreiging

Mango, gecategoriseerd als een variant binnen de Phobos-familie, behoort tot een groep geavanceerde malwarebedreigingen. De kenmerken van de Phobos-malware onderscheiden zich door strategisch te vermijden dat geïnfecteerde systemen niet-operationeel worden gemaakt, waardoor cruciale bestanden niet-versleuteld blijven om de systeemfunctionaliteit te behouden. Deze ransomwarevariant kan zowel lokale bestanden als bestanden die via een netwerk worden gedeeld, versleutelen.

Om effectieve encryptie te garanderen, beëindigt de Phobos Ransomware processen die verband houden met bestanden die als 'in gebruik' of actief geopend kunnen worden beschouwd, zoals die in tekstbestandlezers of databaseprogramma's. Het is de bedoeling om uitzonderingen op basis van de actieve status van de bestanden tijdens het versleutelen te voorkomen.

Hoewel Phobos-programma's erop gericht zijn de kans op dubbele encryptie te verkleinen door bestanden die door andere ransomware zijn vergrendeld te sparen, heeft deze aanpak inherente beperkingen. Het is gebaseerd op een vooraf bepaalde lijst met ransomware, die door zijn aard niet alle mogelijke variaties en combinaties kan omvatten.

Om de inspanningen voor gegevensherstel te belemmeren, verwijdert de malware de schaduwvolumekopieën. Bovendien bevat Phobos een geolocatiefunctie, waardoor het gegevens kan verzamelen en kan bepalen of doorgegaan moet worden met encryptie op basis van factoren zoals economische kracht of geopolitieke overwegingen.

Ransomwareprogramma's zoals Phobos gebruiken meerdere technieken om persistentie te garanderen. Dit omvat het kopiëren van zichzelf naar specifieke paden en het registreren met Run-toetsen voor automatische startfunctionaliteit na het opnieuw opstarten van het systeem.

Decodering zonder tussenkomst van de aanvallers is zelden mogelijk, behalve in gevallen waarin de ransomware ernstige gebreken vertoont. Ondanks het voldoen aan de losgeldeisen ontvangen slachtoffers vaak niet de beloofde decoderingstools. Daarom wordt het betalen van het losgeld sterk afgeraden, omdat dit noch het gegevensherstel garandeert, noch de ondersteuning van criminele activiteiten verhindert.

Om verdere coderingen te dwarsbomen, is het verwijderen van de Mango Ransomware van het besturingssysteem absoluut noodzakelijk. Het is echter van cruciaal belang om te weten dat het verwijderingsproces geen bestanden herstelt die al door de ransomware zijn aangetast. Dit vermindert het belang van preventieve maatregelen en uitgebreide beveiligingspraktijken om de impact van dergelijke geavanceerde malwarebedreigingen te minimaliseren.

De volledige tekst van de losgeldbrief gegenereerd door de Mango Ransomware is:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Hoe Bitcoins te verkrijgen
De eenvoudigste manier om bitcoins te kopen is de LocalBitcoins-site. U moet zich registreren, op 'Bitcoins kopen' klikken en de verkoper selecteren op betaalmethode en prijs.
hxxps://localbitcoins.com/buy_bitcoins
Hier kunt u ook andere plaatsen vinden om Bitcoins en een beginnershandleiding te kopen:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aandacht!
Hernoem versleutelde bestanden niet.
Probeer uw gegevens niet te decoderen met software van derden, dit kan permanent gegevensverlies veroorzaken.
Het decoderen van uw bestanden met de hulp van derden kan een hogere prijs met zich meebrengen (zij voegen hun vergoeding toe aan die van ons) of u kunt het slachtoffer worden van oplichting.'

Het tekstbestand dat door de bedreiging is gemaakt, bevat het volgende bericht:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'