Mango Ransomware
O Mango Ransomware foi identificado como um programa ameaçador por especialistas em segurança cibernética. Este software insidioso emprega uma estratégia de encriptar ficheiros no dispositivo comprometido e, posteriormente, exigir pagamento pela sua desencriptação. Uma vez iniciado no sistema de destino, o Mango Ransomware inicia o processo de criptografia, modificando os nomes originais dos arquivos em questão.
A estes nomes de ficheiros, o Mango anexa uma identificação distinta atribuída à vítima, o endereço de e-mail do cibercriminoso responsável e uma extensão '.mango'. Como exemplo ilustrativo, um arquivo originalmente denominado '1.doc' se transforma em '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
Após a conclusão do processo de criptografia, o malware gera duas notas de resgate. Uma dessas notas aparece como uma janela pop-up intitulada ‘info.hta’, enquanto a outra é um arquivo de texto chamado ‘info.txt’. Esses arquivos são depositados na área de trabalho e distribuídos por todos os diretórios onde ocorreu a criptografia. Vale ressaltar que o Mango Ransomware pertence à família Phobos Ransomware, refletindo uma categorização mais ampla no cenário de software inseguro.
A Nota de Resgate Deixada para as Vítimas do Mango Ransomware
O conteúdo do arquivo de texto comunica que os arquivos inacessíveis foram criptografados, enfatizando a necessidade da vítima estabelecer contato com os invasores para facilitar o processo de descriptografia.
Expandindo as informações, a mensagem pop-up investiga os detalhes da infecção por ransomware. Esclarece que a recuperação dos ficheiros encriptados exige o pagamento de um resgate. O valor desse resgate depende supostamente da rapidez com que a vítima entra em contato com os cibercriminosos. É importante ressaltar que o pagamento deve ser feito em Bitcoin, uma forma de criptomoeda.
Antes de concordar com os pedidos de resgate, a vítima tem a oportunidade de testar o processo de desencriptação em três ficheiros afetados, sujeito a certas especificações. Simultaneamente, é emitido um aviso de advertência, aconselhando a vítima contra quaisquer modificações nos ficheiros bloqueados, a utilização de ferramentas de desencriptação de terceiros e a procura de assistência de terceiros. Isso ressalta a natureza crítica de seguir as instruções especificadas para otimizar as chances de recuperação bem-sucedida de arquivos dentro dos parâmetros definidos pelos invasores.
As Capacidades Ameaçadoras do Mango Ransomware
O Mango, classificado como uma variante da família Phobos, pertence a um grupo de ameaças de malware sofisticadas. As características do malware da família Phobos o diferenciam, evitando estrategicamente tornar os sistemas infectados inoperantes, deixando arquivos cruciais descriptografados para manter a funcionalidade do sistema. Esta variante de ransomware é capaz de criptografar arquivos locais e compartilhados em uma rede.
Para garantir uma criptografia eficaz, o Phobos Ransomware encerra processos associados a arquivos que podem ser considerados 'em uso' ou ativamente abertos, como aqueles em leitores de arquivos de texto ou programas de banco de dados. A intenção é evitar isenções com base no status ativo dos arquivos durante a criptografia.
Embora os programas Phobos tenham como objetivo reduzir a probabilidade de criptografia dupla, poupando os arquivos bloqueados por outros ransomware, essa abordagem tem limitações inerentes. Baseia-se numa lista predeterminada de ransomware que, pela sua natureza, não pode abranger todas as variações e combinações potenciais.
Para impedir os esforços de recuperação de dados, o malware exclui as Shadow Volume Copies. Além disso, Phobos inclui um recurso de geolocalização, permitindo coletar dados e determinar se deve prosseguir com a criptografia com base em fatores como força econômica ou considerações geopolíticas.
Programas ransomware como o Phobos empregam múltiplas técnicas para garantir a persistência. Isso inclui copiar-se para caminhos específicos e registrar-se com teclas Run para funcionalidade de inicialização automática após reinicializações do sistema.
A desencriptação sem o envolvimento dos atacantes raramente é viável, exceto nos casos em que o ransomware apresenta falhas graves. Apesar de atenderem aos pedidos de resgate, as vítimas muitas vezes não recebem as ferramentas de desencriptação prometidas. Portanto, o pagamento do resgate é fortemente desencorajado, pois não garante a recuperação dos dados nem impede o apoio a atividades criminosas.
Para impedir futuras criptografias, é imperativo remover o Mango Ransomware do sistema operacional. No entanto, é crucial observar que o processo de remoção não restaura os arquivos já comprometidos pelo ransomware. Isto diminui a importância de medidas preventivas e práticas de segurança abrangentes para minimizar o impacto dessas ameaças sofisticadas de malware.
O texto completo da nota de resgate gerada pelo Mango Ransomware é:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Como obter Bitcoins
A maneira mais fácil de comprar bitcoins é no site LocalBitcoins. Você deve se registrar, clicar em ‘Comprar bitcoins’ e selecionar o vendedor por forma de pagamento e preço.
hxxps://localbitcoins.com/buy_bitcoins
Além disso, você pode encontrar outros lugares para comprar Bitcoins e guia para iniciantes aqui:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Atenção!
Não renomeie arquivos criptografados.
Não tente descriptografar seus dados usando software de terceiros, pois isso pode causar perda permanente de dados.
A descriptografia de seus arquivos com a ajuda de terceiros pode aumentar o preço (eles adicionam suas taxas às nossas) ou você pode se tornar vítima de um golpe.'
O arquivo de texto criado pela ameaça contém a seguinte mensagem:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
