Ransomware Mango

Mango Ransomware a fost identificat ca un program amenințător de experții în securitate cibernetică. Acest software insidios folosește o strategie de criptare a fișierelor de pe dispozitivul compromis și, ulterior, de a solicita plata pentru decriptarea acestora. Odată inițiat pe sistemul vizat, Mango Ransomware începe procesul de criptare, modificând numele fișierelor originale ale fișierelor în cauză.

La aceste nume de fișiere, Mango adaugă un ID distinctiv atribuit victimei, adresa de e-mail a infractorului cibernetic responsabil și o extensie „.mango”. Ca exemplu ilustrativ, un fișier inițial etichetat „1.doc” se transformă în „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango”.

La finalizarea procesului de criptare, malware-ul generează două note de răscumpărare. Una dintre aceste note apare ca o fereastră pop-up intitulată „info.hta”, în timp ce cealaltă este un fișier text numit „info.txt”. Aceste fișiere sunt depuse pe desktop și distribuite în toate directoarele în care a avut loc criptarea. Este de remarcat faptul că Mango Ransomware aparține familiei Phobos Ransomware , reflectând o clasificare mai largă în peisajul software-ului nesigur.

Nota de răscumpărare lăsată victimelor ransomware-ului Mango

Conținutul din fișierul text comunică faptul că fișierele făcute inaccesibile au suferit criptare, subliniind necesitatea ca victima să stabilească contactul cu atacatorii pentru a facilita procesul de decriptare.

Extinderea informațiilor, mesajul pop-up analizează specificul infecției cu ransomware. Acesta clarifică faptul că recuperarea fișierelor criptate necesită plata unei răscumpări. Se presupune că valoarea acestei răscumpări depinde de cât de rapid ajunge victima la infractorii cibernetici. Important este că plata este specificată a fi efectuată în Bitcoin, o formă de criptomonedă.

Înainte de a accepta cererile de răscumpărare, victimei i se oferă posibilitatea de a testa procesul de decriptare pe trei fișiere afectate, sub rezerva anumitor specificații. Simultan, este emis un avertisment de avertizare, sfătuind victima împotriva oricăror modificări ale fișierelor blocate, utilizarea instrumentelor de decriptare terță parte și solicitarea de asistență de la părți externe. Acest lucru subliniază natura critică a aderării la instrucțiunile specificate pentru a optimiza șansele de recuperare cu succes a fișierelor în parametrii stabiliți de atacatori.

Capacitățile de amenințare ale amenințării ransomware Mango

Mango, clasificat ca o variantă în cadrul familiei Phobos, aparține unui grup de amenințări malware sofisticate. Caracteristicile malware-ului familiei Phobos îl diferențiază prin evitarea strategică a redării sistemelor infectate neoperaționale, lăsând fișierele cruciale necriptate pentru a menține funcționalitatea sistemului. Această variantă de ransomware este capabilă să cripteze atât fișierele locale, cât și cele partajate într-o rețea.

Pentru a asigura o criptare eficientă, Phobos Ransomware încheie procesele asociate cu fișierele care ar putea fi considerate „în uz” sau deschise în mod activ, cum ar fi cele din cititoarele de fișiere text sau programele de baze de date. Intenția este de a preveni scutirile bazate pe starea activă a fișierelor în timpul criptării.

În timp ce programele Phobos urmăresc să reducă probabilitatea de dublă criptare prin economisirea fișierelor blocate de alte ransomware, această abordare are limitări inerente. Se bazează pe o listă de ransomware predeterminată, care, prin natura sa, nu poate cuprinde toate variațiile și combinațiile potențiale.

Pentru a împiedica eforturile de recuperare a datelor, malware-ul șterge Copiile Shadow Volume. În plus, Phobos include o funcție de localizare geografică, care îi permite să colecteze date și să determine dacă să procedeze cu criptarea pe baza unor factori precum puterea economică sau considerații geopolitice.

Programele ransomware precum Phobos folosesc mai multe tehnici pentru a asigura persistența. Aceasta include copierea pe căi specifice și înregistrarea cu tastele Run pentru funcționalitatea de pornire automată după repornirea sistemului.

Decriptarea fără implicarea atacatorilor este rareori fezabilă, cu excepția cazurilor în care ransomware-ul prezintă defecte grave. În ciuda îndeplinirii cererilor de răscumpărare, victimele nu primesc adesea instrumentele de decriptare promise. Prin urmare, plata răscumpărării este puternic descurajată, deoarece nici nu garantează recuperarea datelor și nici nu împiedică susținerea activităților criminale.

Pentru a împiedica criptările ulterioare, este imperativă eliminarea Ransomware-ului Mango din sistemul de operare. Cu toate acestea, este esențial să rețineți că procesul de eliminare nu restaurează fișierele deja compromise de ransomware. Acest lucru diminuează importanța măsurilor preventive și a practicilor cuprinzătoare de securitate pentru a minimiza impactul unor astfel de amenințări malware sofisticate.

Întregul text al notei de răscumpărare generat de Mango Ransomware este:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Cum să obțineți Bitcoins
Cel mai simplu mod de a cumpăra bitcoini este site-ul LocalBitcoins. Trebuie să vă înregistrați, să faceți clic pe „Cumpărați bitcoins” și să selectați vânzătorul după metoda de plată și preț.
hxxps://localbitcoins.com/buy_bitcoins
De asemenea, puteți găsi și alte locuri pentru a cumpăra Bitcoins și ghid pentru începători aici:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Atenţie!
Nu redenumiți fișierele criptate.
Nu încercați să vă decriptați datele utilizând software terță parte, poate cauza pierderea permanentă a datelor.
Decriptarea fișierelor dvs. cu ajutorul unor terțe părți poate duce la creșterea prețului (aceștia își adaugă taxa la noi) sau puteți deveni victima unei escrocherii.'

Fișierul text creat de amenințare conține următorul mesaj:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'