Mango Ransomware
Experti na kybernetickú bezpečnosť označili Mango Ransomware za ohrozujúci program. Tento zákerný softvér využíva stratégiu šifrovania súborov na napadnutom zariadení a následného požadovania platby za ich dešifrovanie. Po spustení v cieľovom systéme Mango Ransomware začne proces šifrovania, pričom upraví pôvodné názvy súborov príslušných súborov.
K týmto názvom súborov Mango pripojí charakteristické ID priradené obeti, e-mailovú adresu zodpovedného kyberzločinca a príponu „.mango“. Ako názorný príklad možno uviesť, že súbor pôvodne označený ako „1.doc“ sa transformuje na „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.“
Po dokončení procesu šifrovania vygeneruje malvér dve poznámky o výkupnom. Jedna z týchto poznámok sa zobrazuje ako kontextové okno s názvom „info.hta“, zatiaľ čo druhá je textový súbor s názvom „info.txt“. Tieto súbory sú uložené na pracovnej ploche a distribuované vo všetkých adresároch, v ktorých došlo k šifrovaniu. Je pozoruhodné, že Mango Ransomware patrí do rodiny Phobos Ransomware , čo odráža širšiu kategorizáciu v rámci nebezpečného softvéru.
Výkupné ponechané obetiam mangového ransomvéru
Obsah v textovom súbore oznamuje, že súbory, ktoré sa stali neprístupnými, prešli šifrovaním, čím sa zdôrazňuje, že obeť musí nadviazať kontakt s útočníkmi, aby sa uľahčil proces dešifrovania.
Po rozšírení informácií sa kontextová správa ponorí do špecifík ransomvérovej infekcie. Objasňuje, že obnovenie zašifrovaných súborov si vyžaduje zaplatenie výkupného. Výška tohto výkupného je údajne závislá od toho, ako rýchlo obeť osloví kyberzločincov. Dôležité je, že platba sa má uskutočniť v bitcoinech, čo je forma kryptomeny.
Predtým, ako sa obeť podriadi požiadavkám na výkupné, dostane možnosť otestovať si proces dešifrovania na troch postihnutých súboroch, s výhradou určitých špecifikácií. Súčasne sa vydá varovné varovanie, ktoré obeť varuje pred akýmikoľvek úpravami uzamknutých súborov, používaním nástrojov na dešifrovanie tretích strán a požiadaním o pomoc od externých strán. To podčiarkuje kritickú povahu dodržiavania špecifikovaných pokynov na optimalizáciu šancí na úspešnú obnovu súborov v rámci parametrov nastavených útočníkmi.
Ohrozujúce schopnosti hrozby Mango Ransomware
Mango, kategorizované ako variant v rámci rodiny Phobos, patrí do skupiny sofistikovaných malvérových hrozieb. Charakteristiky škodlivého softvéru z rodiny Phobos ho odlišujú tým, že strategicky zabraňujú tomu, aby infikované systémy boli nefunkčné, pričom kľúčové súbory zostávajú nezašifrované, aby sa zachovala funkčnosť systému. Tento variant ransomvéru je schopný šifrovať lokálne súbory aj súbory zdieľané v sieti.
Aby sa zabezpečilo efektívne šifrovanie, Phobos Ransomware ukončuje procesy spojené so súbormi, ktoré by sa mohli považovať za „používané“ alebo aktívne otvorené, ako sú napríklad tie v čítačkách textových súborov alebo databázových programoch. Zámerom je zabrániť výnimkám založeným na aktívnom stave súborov počas šifrovania.
Zatiaľ čo programy Phobos majú za cieľ znížiť pravdepodobnosť dvojitého šifrovania šetrením súborov uzamknutých iným ransomwarom, tento prístup má svoje vlastné obmedzenia. Spolieha sa na vopred určený zoznam ransomvéru, ktorý svojou povahou nemôže zahŕňať všetky potenciálne variácie a kombinácie.
Aby malvér zabránil snahám o obnovu údajov, odstráni tieňové kópie zväzku. Okrem toho Phobos obsahuje funkciu geolokácie, ktorá mu umožňuje zhromažďovať údaje a určiť, či pokračovať v šifrovaní na základe faktorov, ako je ekonomická sila alebo geopolitické úvahy.
Ransomvérové programy, ako je Phobos, využívajú viaceré techniky na zabezpečenie trvalosti. To zahŕňa ich skopírovanie do špecifických ciest a registráciu pomocou klávesov Run pre funkciu automatického spustenia po reštarte systému.
Dešifrovanie bez účasti útočníkov je len zriedka možné, s výnimkou prípadov, keď ransomvér vykazuje vážne chyby. Napriek splneniu požiadaviek na výkupné obete často nedostanú sľúbené dešifrovacie nástroje. Platenie výkupného sa preto dôrazne neodporúča, pretože nezaručuje obnovu údajov ani nebráni podpore kriminálnych aktivít.
Na zmarenie ďalšieho šifrovania je nevyhnutné odstrániť Mango Ransomware z operačného systému. Je však dôležité poznamenať, že proces odstránenia neobnovuje súbory, ktoré už ransomvér skompromitoval. To znižuje dôležitosť preventívnych opatrení a komplexných bezpečnostných postupov na minimalizáciu dopadu takýchto sofistikovaných malvérových hrozieb.
Celý text výkupného vygenerovaného Mango Ransomware je:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Ako získať bitcoiny
Najjednoduchší spôsob nákupu bitcoinov je stránka LocalBitcoins. Musíte sa zaregistrovať, kliknúť na „Kúpiť bitcoiny“ a vybrať predajcu podľa spôsobu platby a ceny.
hxxps://localbitcoins.com/buy_bitcoins
Môžete tiež nájsť ďalšie miesta na nákup bitcoinov a sprievodcu pre začiatočníkov tu:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Pozor!
Nepremenovávajte šifrované súbory.
Nepokúšajte sa dešifrovať údaje pomocou softvéru tretích strán, môže to spôsobiť trvalú stratu údajov.
Dešifrovanie vašich súborov pomocou tretích strán môže spôsobiť zvýšenie ceny (pripočítajú si svoj poplatok k nám) alebo sa môžete stať obeťou podvodu.'
Textový súbor vytvorený hrozbou obsahuje nasledujúcu správu:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
