Mango Ransomware
Стручњаци за сајбер безбедност идентификовали су Манго Рансомваре као претећи програм. Овај подмукли софтвер користи стратегију шифровања датотека на компромитованом уређају и после тога захтева плаћање за њихово дешифровање. Једном када се покрене на циљаном систему, Манго Рансомваре започиње процес шифровања, мењајући оригинална имена датотека у питању.
Овим именима датотека, Манго додаје препознатљив ИД који је додељен жртви, адресу е-поште одговорног сајбер криминалца и екстензију „.манго“. Као илустративан пример, датотека са оригиналном ознаком „1.доц“ се трансформише у „1.доц.ид[9ЕЦФА74Е-3316].[дуцкјахана@онионмаил.цом].манго.“
По завршетку процеса шифровања, малвер генерише две белешке о откупнини. Једна од ових белешки се појављује као искачући прозор под називом „инфо.хта“, док је друга текстуална датотека под називом „инфо.ткт“. Ове датотеке се депонују на радну површину и дистрибуирају у свим директоријумима у којима је дошло до шифровања. Важно је напоменути да Манго Рансомваре припада породици Пхобос Рансомваре-а , што одражава ширу категоризацију у окружењу небезбедног софтвера.
Порука о откупнини остављена жртвама Манго Рансомваре-а
Садржај унутар текстуалне датотеке саопштава да су датотеке које су постале недоступне подвргнуте шифровању, наглашавајући потребу да жртва успостави контакт са нападачима како би се олакшао процес дешифровања.
Проширујући информације, искачућа порука се бави специфичностима инфекције рансомвером. Појашњава да је за опоравак шифрованих датотека потребно плаћање откупнине. Износ ове откупнине наводно зависи од тога колико брзо жртва допре до сајбер криминалаца. Важно је да је наведено да се плаћање врши у Битцоин-у, облику криптовалуте.
Пре него што пристане на захтеве за откупнину, жртви се даје могућност да тестира процес дешифровања на три захваћена фајла, у складу са одређеним спецификацијама. Истовремено, издаје се упозорење, саветујући жртву да не мења било какве модификације закључаних датотека, да користи алате за дешифровање треће стране и да тражи помоћ од спољних страна. Ово наглашава критичну природу придржавања наведених упутстава за оптимизацију шанси за успешан опоравак датотеке у оквиру параметара које су поставили нападачи.
Претеће могућности претње Манго Рансомваре-а
Манго, категорисан као варијанта у оквиру породице Фобос, припада групи софистицираних претњи од малвера. Карактеристике малвера из породице Пхобос га разликују тако што се стратешки избегава да заражени системи не раде, остављајући кључне датотеке нешифрованим да би се одржала функционалност система. Ова варијанта рансомваре-а може да шифрује и локалне датотеке и оне које се деле преко мреже.
Да би обезбедио ефикасно шифровање, Пхобос Рансомваре прекида процесе повезане са датотекама које се могу сматрати „у употреби“ или активно отвореним, као што су оне у читачима текстуалних датотека или програмима база података. Намера је да се спрече изузећа на основу активног статуса датотека током шифровања.
Док Пхобос програми имају за циљ да смање вероватноћу двоструке енкрипције штедећи датотеке закључане другим рансомвером, овај приступ има инхерентна ограничења. Ослања се на унапред одређену листу рансомвера, која, по својој природи, не може да обухвати све потенцијалне варијације и комбинације.
Да би спречио напоре у опоравку података, злонамерни софтвер брише Схадов Волуме Цопиес. Поред тога, Пхобос укључује функцију геолокације, која му омогућава да прикупља податке и одреди да ли да настави са шифровањем на основу фактора као што су економска снага или геополитичка разматрања.
Рансомваре програми као што је Пхобос користе више техника како би осигурали упорност. Ово укључује њихово копирање на одређене путање и регистрацију помоћу тастера Рун за функцију аутоматског покретања након поновног покретања система.
Дешифровање без учешћа нападача је ретко изводљиво, осим у случајевима када рансомвер показује озбиљне недостатке. Упркос испуњавању захтева за откупнином, жртве често не добијају обећане алате за дешифровање. Стога је плаћање откупнине строго обесхрабрено, јер не гарантује поврат података нити спречава подршку криминалним активностима.
Да бисте спречили даље шифровање, уклањање Манго Рансомваре-а из оперативног система је императив. Међутим, кључно је напоменути да процес уклањања не враћа датотеке које је већ компромитовао рансомваре. Ово умањује важност превентивних мера и свеобухватних безбедносних пракси како би се смањио утицај тако софистицираних претњи од малвера.
Цео текст поруке о откупнини коју је генерисао Манго Рансомваре је:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Како доћи до биткоина
Најлакши начин за куповину биткоина је сајт ЛоцалБитцоинс. Морате се регистровати, кликнути на 'Купи биткоине' и изабрати продавца по начину плаћања и цени.
хккпс://лоцалбитцоинс.цом/буи_битцоинс
Такође можете пронаћи друга места за куповину биткоина и водич за почетнике овде:
хккп://ввв.цоиндеск.цом/информатион/хов-цан-и-буи-битцоинс/Пажња!
Немојте преименовати шифроване датотеке.
Не покушавајте да дешифрујете своје податке помоћу софтвера треће стране, то може довести до трајног губитка података.
Дешифровање ваших датотека уз помоћ трећих страна може довести до повећања цене (они додају своју накнаду на нашу) или можете постати жртва преваре.'
Текстуална датотека коју је креирала претња садржи следећу поруку:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
