Oprogramowanie ransomware Mango

Eksperci ds. cyberbezpieczeństwa uznali oprogramowanie Mango Ransomware za program zagrażający. To podstępne oprogramowanie wykorzystuje strategię szyfrowania plików na zaatakowanym urządzeniu, a następnie żąda zapłaty za ich odszyfrowanie. Po zainicjowaniu w docelowym systemie, Mango Ransomware rozpoczyna proces szyfrowania, modyfikując oryginalne nazwy danych plików.

Do nazw tych plików Mango dołącza charakterystyczny identyfikator przypisany ofierze, adres e-mail odpowiedzialnego za cyberprzestępcę oraz rozszerzenie „.mango”. Przykładowo, plik pierwotnie oznaczony jako „1.doc” przekształca się w „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango”.

Po zakończeniu procesu szyfrowania szkodliwe oprogramowanie generuje dwa żądania okupu. Jedna z tych notatek pojawia się w postaci wyskakującego okna o nazwie „info.hta”, a druga to plik tekstowy o nazwie „info.txt”. Pliki te są zapisywane na pulpicie i rozprowadzane we wszystkich katalogach, w których nastąpiło szyfrowanie. Warto zauważyć, że Mango Ransomware należy do rodziny Phobos Ransomware , co odzwierciedla szerszą kategoryzację w krajobrazie niebezpiecznego oprogramowania.

List z żądaniem okupu pozostawiony ofiarom oprogramowania ransomware Mango

Treść pliku tekstowego informuje, że niedostępne pliki zostały zaszyfrowane, co podkreśla potrzebę nawiązania przez ofiarę kontaktu z atakującymi, aby ułatwić proces odszyfrowania.

Rozszerzając informacje, wyskakujący komunikat zagłębia się w szczegóły infekcji ransomware. Wyjaśnia, że odzyskanie zaszyfrowanych plików wiąże się z koniecznością zapłaty okupu. Wysokość okupu zależy rzekomo od tego, jak szybko ofiara nawiąże kontakt z cyberprzestępcami. Co ważne, płatność ma zostać dokonana w Bitcoinie, formie kryptowaluty.

Przed spełnieniem żądań okupu ofiara ma możliwość przetestowania procesu deszyfrowania trzech plików, których dotyczy problem, z zastrzeżeniem określonych specyfikacji. Jednocześnie wyświetlane jest ostrzeżenie, w którym odradza się ofierze wprowadzanie jakichkolwiek modyfikacji w zablokowanych plikach, korzystanie z narzędzi deszyfrujących innych firm oraz zwracanie się o pomoc do stron zewnętrznych. Podkreśla to, jak istotne jest przestrzeganie określonych instrukcji w celu optymalizacji szans na pomyślne odzyskanie plików w ramach parametrów określonych przez osoby atakujące.

Zagrażające możliwości zagrożenia Mango Ransomware

Mango, sklasyfikowane jako wariant rodziny Phobos, należy do grupy wyrafinowanych zagrożeń złośliwym oprogramowaniem. Charakterystyka złośliwego oprogramowania z rodziny Phobos odróżnia go od strategicznego unikania powodowania, że zainfekowane systemy przestają działać, a kluczowe pliki pozostają niezaszyfrowane, aby zachować funkcjonalność systemu. Ten wariant ransomware potrafi szyfrować zarówno pliki lokalne, jak i te udostępniane w sieci.

Aby zapewnić skuteczne szyfrowanie, Phobos Ransomware kończy procesy powiązane z plikami, które można uznać za „w użyciu” lub aktywnie otwarte, takie jak te w czytnikach plików tekstowych lub programach bazodanowych. Celem jest zapobieganie wyjątkom na podstawie aktywnego statusu plików podczas szyfrowania.

Chociaż programy Phobos mają na celu zmniejszenie prawdopodobieństwa podwójnego szyfrowania poprzez oszczędzanie plików zablokowanych przez inne oprogramowanie ransomware, podejście to ma nieodłączne ograniczenia. Opiera się na z góry określonej liście programów ransomware, która ze względu na swój charakter nie może obejmować wszystkich potencjalnych odmian i kombinacji.

Aby utrudnić odzyskanie danych, złośliwe oprogramowanie usuwa kopie woluminów w tle. Dodatkowo Phobos zawiera funkcję geolokalizacji, która pozwala mu zbierać dane i decydować, czy kontynuować szyfrowanie w oparciu o takie czynniki, jak siła ekonomiczna lub względy geopolityczne.

Programy ransomware, takie jak Phobos, wykorzystują wiele technik, aby zapewnić trwałość. Obejmuje to kopiowanie się do określonych ścieżek i rejestrację za pomocą klawiszy Uruchom w celu uzyskania funkcji automatycznego uruchamiania po ponownym uruchomieniu systemu.

Odszyfrowanie bez udziału osób atakujących jest rzadko możliwe, z wyjątkiem przypadków, gdy oprogramowanie ransomware wykazuje poważne wady. Pomimo spełnienia żądań okupu ofiary często nie otrzymują obiecanych narzędzi deszyfrujących. Dlatego zdecydowanie odradza się płacenie okupu, ponieważ nie gwarantuje to odzyskania danych ani nie zapobiega wspieraniu działalności przestępczej.

Aby udaremnić dalsze szyfrowanie, konieczne jest usunięcie Mango Ransomware z systemu operacyjnego. Należy jednak pamiętać, że proces usuwania nie przywraca plików już zainfekowanych przez oprogramowanie ransomware. Zmniejsza to znaczenie środków zapobiegawczych i kompleksowych praktyk bezpieczeństwa minimalizujących wpływ tak wyrafinowanych zagrożeń złośliwym oprogramowaniem.

Cały tekst żądania okupu wygenerowanego przez Mango Ransomware to:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Jak zdobyć Bitcoiny
Najłatwiejszym sposobem zakupu bitcoinów jest strona LocalBitcoins. Musisz się zarejestrować, kliknąć „Kup bitcoiny” i wybrać sprzedawcę według metody płatności i ceny.
hxxps://localbitcoins.com/buy_bitcoins
Możesz także znaleźć inne miejsca do zakupu Bitcoinów i przewodnik dla początkujących tutaj:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Uwaga!
Nie zmieniaj nazw zaszyfrowanych plików.
Nie próbuj odszyfrowywać swoich danych za pomocą oprogramowania stron trzecich, może to spowodować trwałą utratę danych.
Odszyfrowanie Twoich plików przy pomocy osób trzecich może spowodować wzrost ceny (doliczają one swoją opłatę do naszej) lub możesz stać się ofiarą oszustwa.'

Plik tekstowy utworzony przez zagrożenie zawiera następujący komunikat:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'