Mango Ransomware
Mango Ransomware har identifierats som ett hotande program av cybersäkerhetsexperter. Denna lömska programvara använder en strategi för att kryptera filer på den komprometterade enheten och därefter kräva betalning för deras dekryptering. När den väl har initierats på det riktade systemet, börjar Mango Ransomware krypteringsprocessen och ändrar de ursprungliga filnamnen för filerna i fråga.
Till dessa filnamn lägger Mango till ett särskiljande ID som tilldelats offret, e-postadressen till den ansvariga cyberbrottslingen och ett ".mango"-tillägg. Som ett illustrativt exempel omvandlas en fil som ursprungligen märktes '1.doc' till '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
När krypteringsprocessen är klar genererar skadlig programvara två lösensedlar. En av dessa anteckningar visas som ett popup-fönster med titeln 'info.hta', medan den andra är en textfil med namnet 'info.txt'. Dessa filer deponeras på skrivbordet och distribueras över alla kataloger där kryptering har skett. Det är anmärkningsvärt att Mango Ransomware tillhör Phobos Ransomware -familjen, vilket återspeglar en bredare kategorisering inom landskapet av osäker programvara.
Lösenanteckningen lämnad till offren för Mango Ransomware
Innehållet i textfilen kommunicerar att filerna som gjorts otillgängliga har genomgått kryptering, vilket betonar behovet för offret att etablera kontakt med angriparna för att underlätta dekrypteringsprocessen.
Utvidgar informationen, dyker popup-meddelandet in i detaljerna kring ransomware-infektionen. Det klargör att återställning av de krypterade filerna kräver betalning av en lösensumma. Storleken på denna lösen är påstås beroende av hur snabbt offret når ut till cyberbrottslingarna. Viktigt är att betalningen specificeras att göras i Bitcoin, en form av kryptovaluta.
Innan offret går med på kraven på lösen får offret möjlighet att testa dekrypteringsprocessen på tre berörda filer, med förbehåll för vissa specifikationer. Samtidigt utfärdas en varningsvarning, som avråder offret från eventuella ändringar av de låsta filerna, användning av tredjeparts dekrypteringsverktyg och söker hjälp från externa parter. Detta understryker den kritiska karaktären av att följa de specificerade instruktionerna för att optimera chanserna för framgångsrik filåterställning inom de parametrar som angriparna ställt in.
Hotande egenskaper hos Mango Ransomware-hotet
Mango, kategoriserad som en variant inom Phobos-familjen, tillhör en grupp sofistikerade skadliga hot. Egenskaperna hos skadlig programvara i Phobos-familjen skiljer den åt genom att strategiskt undvika att göra infekterade system icke-operativa, vilket lämnar viktiga filer okrypterade för att upprätthålla systemets funktionalitet. Denna ransomware-variant kan kryptera både lokala filer och de som delas över ett nätverk.
För att säkerställa effektiv kryptering avslutar Phobos Ransomware processer associerade med filer som kan anses vara "använda" eller aktivt öppna, såsom de i textfilläsare eller databasprogram. Avsikten är att förhindra undantag baserat på filernas aktiva status under kryptering.
Medan Phobos-program syftar till att minska sannolikheten för dubbel kryptering genom att spara filer som är låsta av andra ransomware, har detta tillvägagångssätt inneboende begränsningar. Den förlitar sig på en förutbestämd ransomware-lista, som till sin natur inte kan omfatta alla potentiella variationer och kombinationer.
För att hindra dataåterställningsarbetet tar skadlig programvara bort Shadow Volume Copies. Dessutom inkluderar Phobos en geolokaliseringsfunktion, som gör att den kan samla in data och avgöra om den ska fortsätta med kryptering baserat på faktorer som ekonomisk styrka eller geopolitiska överväganden.
Ransomware-program som Phobos använder flera tekniker för att säkerställa uthållighet. Detta inkluderar att kopiera sig själva till specifika sökvägar och registrera sig med Run-nycklar för automatisk startfunktion efter omstart av systemet.
Dekryptering utan inblandning av angriparna är sällan möjlig, förutom i de fall där ransomwaren uppvisar allvarliga brister. Trots att de möter krav på lösen får offren ofta inte de utlovade dekrypteringsverktygen. Därför avråds det starkt från att betala lösen, eftersom det varken garanterar dataåterställning eller förhindrar stöd av kriminella aktiviteter.
För att motverka ytterligare krypteringar är det absolut nödvändigt att ta bort Mango Ransomware från operativsystemet. Det är dock viktigt att notera att borttagningsprocessen inte återställer filer som redan har äventyrats av ransomware. Detta minskar vikten av förebyggande åtgärder och omfattande säkerhetsrutiner för att minimera effekterna av sådana sofistikerade skadliga hot.
Hela texten i lösennotan som genereras av Mango Ransomware är:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Hur man skaffar Bitcoins
Det enklaste sättet att köpa bitcoins är LocalBitcoins webbplats. Du måste registrera dig, klicka på "Köp bitcoins" och välja säljare efter betalningsmetod och pris.
hxxps://localbitcoins.com/buy_bitcoins
Du kan också hitta andra ställen att köpa Bitcoins och nybörjarguide här:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Uppmärksamhet!
Byt inte namn på krypterade filer.
Försök inte att dekryptera dina data med programvara från tredje part, det kan orsaka permanent dataförlust.
Dekryptering av dina filer med hjälp av tredje part kan orsaka ökat pris (de lägger till sin avgift till vår) eller så kan du bli ett offer för en bluff.'
Textfilen som skapats av hotet innehåller följande meddelande:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
