Mango Ransomware

Izsiljevalsko programsko opremo Mango so strokovnjaki za kibernetsko varnost označili za nevaren program. Ta zahrbtna programska oprema uporablja strategijo šifriranja datotek na ogroženi napravi in nato zahteva plačilo za njihovo dešifriranje. Ko se izsiljevalska programska oprema Mango sproži v ciljnem sistemu, začne postopek šifriranja in spremeni izvirna imena zadevnih datotek.

Mango tem imenom datotek doda poseben ID, dodeljen žrtvi, e-poštni naslov odgovornega spletnega kriminalca in pripono '.mango'. Kot ilustrativen primer se datoteka, prvotno označena kot '1.doc', spremeni v '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'

Po zaključku postopka šifriranja zlonamerna programska oprema ustvari dve obvestili o odkupnini. Ena od teh opomb se prikaže kot pojavno okno z naslovom 'info.hta', medtem ko je druga besedilna datoteka z imenom 'info.txt'. Te datoteke se odložijo na namizje in porazdelijo po vseh imenikih, kjer je prišlo do šifriranja. Omeniti velja, da Mango Ransomware pripada družini Phobos Ransomware , kar odraža širšo kategorizacijo v pokrajini nevarne programske opreme.

Obvestilo o odkupnini, prepuščeno žrtvam izsiljevalske programske opreme Mango

Vsebina v besedilni datoteki sporoča, da so bile datoteke, ki so postale nedostopne, šifrirane, s poudarkom na potrebi, da žrtev vzpostavi stik z napadalci, da olajša postopek dešifriranja.

Pojavno sporočilo, ki razširi informacije, se poglobi v posebnosti okužbe z izsiljevalsko programsko opremo. Pojasnjuje, da je za obnovitev šifriranih datotek potrebno plačilo odkupnine. Znesek te odkupnine naj bi bil odvisen od tega, kako hitro žrtev doseže kibernetske kriminalce. Pomembno je, da je plačilo določeno v bitcoinih, obliki kriptovalute.

Preden žrtev privoli v zahteve po odkupnini, dobi možnost, da preizkusi postopek dešifriranja na treh prizadetih datotekah, ob upoštevanju določenih specifikacij. Hkrati je izdano opozorilo, ki žrtvi svetuje, da ne sme spreminjati zaklenjenih datotek, uporabljati orodij za dešifriranje tretjih oseb in najti pomoč zunanjih oseb. To poudarja kritično naravo upoštevanja navedenih navodil za optimizacijo možnosti uspešne obnovitve datotek v okviru parametrov, ki so jih nastavili napadalci.

Nevarne zmožnosti grožnje izsiljevalske programske opreme Mango

Mango, kategoriziran kot različica v družini Phobos, spada v skupino sofisticiranih groženj zlonamerne programske opreme. Značilnosti zlonamerne programske opreme družine Phobos jo razlikujejo po tem, da se strateško izogiba temu, da bi okuženi sistemi postali nedelujoči, ključne datoteke pa ostanejo nešifrirane, da se ohrani funkcionalnost sistema. Ta različica izsiljevalske programske opreme lahko šifrira tako lokalne datoteke kot tiste, ki so v skupni rabi v omrežju.

Za zagotovitev učinkovitega šifriranja izsiljevalska programska oprema Phobos prekine procese, povezane z datotekami, ki bi lahko veljale za 'v uporabi' ali aktivno odprte, na primer tiste v bralnikih besedilnih datotek ali programih za zbirke podatkov. Namen je preprečiti izjeme glede na aktivni status datotek med šifriranjem.

Čeprav si programi Phobos prizadevajo zmanjšati verjetnost dvojnega šifriranja tako, da prihranijo datoteke, zaklenjene z drugo izsiljevalsko programsko opremo, ima ta pristop inherentne omejitve. Zanaša se na vnaprej določen seznam izsiljevalskih programov, ki po svoji naravi ne more zajeti vseh možnih različic in kombinacij.

Da bi ovirala prizadevanja za obnovitev podatkov, zlonamerna programska oprema izbriše kopije senčnih nosilcev. Poleg tega Phobos vključuje funkcijo geolokacije, ki mu omogoča zbiranje podatkov in določanje, ali naj nadaljuje s šifriranjem na podlagi dejavnikov, kot so gospodarska moč ali geopolitični vidiki.

Izsiljevalski programi, kot je Phobos, uporabljajo več tehnik za zagotavljanje obstojnosti. To vključuje kopiranje na določene poti in registracijo s tipkami Run za funkcijo samodejnega zagona po ponovnem zagonu sistema.

Dešifriranje brez vpletenosti napadalcev je redko izvedljivo, razen v primerih, ko izsiljevalska programska oprema kaže resne napake. Kljub izpolnitvi zahtev po odkupnini žrtve pogosto ne prejmejo obljubljenih orodij za dešifriranje. Zato plačilo odkupnine močno odsvetujemo, saj niti ne zagotavlja obnovitve podatkov niti ne preprečuje podpiranja kriminalnih dejavnosti.

Da bi preprečili nadaljnje šifriranje, je odstranitev Mango Ransomware iz operacijskega sistema nujna. Vendar je ključnega pomena vedeti, da postopek odstranitve ne obnovi datotek, ki jih je že ogrozila izsiljevalska programska oprema. To zmanjšuje pomen preventivnih ukrepov in celovitih varnostnih praks za zmanjšanje vpliva takšnih sofisticiranih groženj zlonamerne programske opreme.

Celotno besedilo obvestila o odkupnini, ki ga je ustvarila izsiljevalska programska oprema Mango, je:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Kako pridobiti Bitcoine
Najlažji način za nakup bitcoinov je spletno mesto LocalBitcoins. Registrirati se morate, klikniti 'Kupi bitcoine' in izbrati prodajalca po načinu plačila in ceni.
hxxps://localbitcoins.com/buy_bitcoins
Tu lahko najdete tudi druga mesta za nakup bitcoinov in vodnik za začetnike:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Pozor!
Ne preimenujte šifriranih datotek.
Ne poskušajte dešifrirati svojih podatkov s programsko opremo tretjih oseb, lahko povzroči trajno izgubo podatkov.
Dešifriranje vaših datotek s pomočjo tretjih oseb lahko povzroči zvišanje cene (prištejejo svojo provizijo naši) ali pa postanete žrtev prevare.'

Besedilna datoteka, ki jo je ustvarila grožnja, vsebuje naslednje sporočilo:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'