Mango Ransomware

Эксперты по кибербезопасности определили Mango Ransomware как угрожающую программу. Это коварное программное обеспечение использует стратегию шифрования файлов на взломанном устройстве и последующего требования оплаты за их расшифровку. После запуска в целевой системе программа-вымогатель Mango начинает процесс шифрования, изменяя исходные имена рассматриваемых файлов.

К этим именам файлов Mango добавляет отличительный идентификатор, присвоенный жертве, адрес электронной почты ответственного киберпреступника и расширение «.mango». В качестве наглядного примера: файл, первоначально помеченный как «1.doc», преобразуется в «1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango».

По завершении процесса шифрования вредоносная программа генерирует две записки о выкупе. Одна из этих заметок отображается в виде всплывающего окна с названием «info.hta», а другая представляет собой текстовый файл с именем «info.txt». Эти файлы размещаются на рабочем столе и распределяются по всем каталогам, где произошло шифрование. Примечательно, что программа-вымогатель Mango принадлежит к семейству программ-вымогателей Phobos , что отражает более широкую классификацию небезопасного программного обеспечения.

Записка о выкупе, оставленная жертвам программы-вымогателя Mango

Содержимое текстового файла сообщает о том, что файлы, ставшие недоступными, были зашифрованы, что подчеркивает необходимость установления контакта жертвы с злоумышленниками для облегчения процесса расшифровки.

Расширяя информацию, всплывающее сообщение углубляется в особенности заражения программой-вымогателем. В нем уточняется, что восстановление зашифрованных файлов требует уплаты выкупа. Размер выкупа якобы зависит от того, насколько быстро жертва обратится к киберпреступникам. Важно отметить, что платеж должен быть произведен в биткойнах, форме криптовалюты.

Прежде чем согласиться на требования о выкупе, жертве предоставляется возможность протестировать процесс расшифровки трех затронутых файлов при соблюдении определенных спецификаций. Одновременно выдается предупредительное предупреждение, в котором жертве советуют воздержаться от любых изменений в заблокированных файлах, использования сторонних инструментов дешифрования и обращения за помощью к внешним сторонам. Это подчеркивает критический характер соблюдения указанных инструкций для оптимизации шансов на успешное восстановление файлов в пределах параметров, установленных злоумышленниками.

Угрожающие возможности программы-вымогателя Mango

Mango, относящийся к семейству Phobos, принадлежит к группе сложных вредоносных программ. Характеристики вредоносных программ семейства Phobos отличаются тем, что они стратегически избегают вывода зараженных систем из строя, оставляя важные файлы незашифрованными для поддержания функциональности системы. Этот вариант программы-вымогателя способен шифровать как локальные файлы, так и файлы, используемые в сети.

Чтобы обеспечить эффективное шифрование, Phobos Ransomware завершает процессы, связанные с файлами, которые могут считаться «используемыми» или активно открытыми, например, в программах чтения текстовых файлов или программах баз данных. Цель состоит в том, чтобы предотвратить исключения на основе активного статуса файлов во время шифрования.

Хотя программы Phobos направлены на снижение вероятности двойного шифрования за счет сохранения файлов, заблокированных другими программами-вымогателями, этот подход имеет свои ограничения. Он опирается на заранее определенный список программ-вымогателей, который по своей природе не может охватить все потенциальные варианты и комбинации.

Чтобы затруднить восстановление данных, вредоносное ПО удаляет теневые копии томов. Кроме того, Phobos включает функцию геолокации, позволяющую собирать данные и определять, следует ли приступать к шифрованию, исходя из таких факторов, как экономическая мощь или геополитические соображения.

Программы-вымогатели, такие как Phobos, используют несколько методов для обеспечения устойчивости. Это включает в себя копирование себя по определенным путям и регистрацию с помощью клавиш «Выполнить» для функции автоматического запуска после перезагрузки системы.

Расшифровка без участия злоумышленников редко возможна, за исключением случаев, когда программа-вымогатель имеет серьезные недостатки. Несмотря на требования выкупа, жертвы часто не получают обещанных инструментов расшифровки. Поэтому платить выкуп настоятельно не рекомендуется, поскольку это не гарантирует восстановление данных и не предотвращает поддержку преступной деятельности.

Чтобы предотвратить дальнейшее шифрование, необходимо удалить Mango Ransomware из операционной системы. Однако важно отметить, что процесс удаления не восстанавливает файлы, уже скомпрометированные программой-вымогателем. Это снижает важность превентивных мер и комплексных мер безопасности, позволяющих минимизировать воздействие таких сложных вредоносных угроз.

Полный текст записки о выкупе, созданной Mango Ransomware:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.'

Текстовый файл, созданный угрозой, содержит следующее сообщение:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'