Mango Ransomware

Mango Ransomware ได้รับการระบุว่าเป็นโปรแกรมคุกคามโดยผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ ซอฟต์แวร์ร้ายกาจนี้ใช้กลยุทธ์ในการเข้ารหัสไฟล์บนอุปกรณ์ที่ถูกบุกรุกและเรียกร้องการชำระเงินสำหรับการถอดรหัสในเวลาต่อมา เมื่อเริ่มต้นบนระบบเป้าหมาย Mango Ransomware จะเริ่มกระบวนการเข้ารหัส โดยแก้ไขชื่อไฟล์ดั้งเดิมของไฟล์ที่เป็นปัญหา

สำหรับชื่อไฟล์เหล่านี้ Mango จะต่อท้าย ID เฉพาะที่กำหนดให้กับเหยื่อ ที่อยู่อีเมลของอาชญากรไซเบอร์ที่รับผิดชอบ และนามสกุล '.mango' ตามตัวอย่างที่แสดงให้เห็น ไฟล์ที่เดิมมีชื่อว่า '1.doc' จะแปลงเป็น '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango'

เมื่อเสร็จสิ้นกระบวนการเข้ารหัส มัลแวร์จะสร้างบันทึกค่าไถ่สองรายการ หมายเหตุรายการหนึ่งปรากฏเป็นหน้าต่างป๊อปอัปชื่อ 'info.hta' ในขณะที่อีกรายการหนึ่งเป็นไฟล์ข้อความชื่อ 'info.txt' ไฟล์เหล่านี้จะถูกฝากไว้บนเดสก์ท็อปและกระจายไปทั่วไดเร็กทอรีทั้งหมดที่มีการเข้ารหัสเกิดขึ้น เป็นที่น่าสังเกตว่า Mango Ransomware อยู่ในตระกูล Phobos Ransomware ซึ่งสะท้อนถึงการจัดหมวดหมู่ที่กว้างกว่าภายในภูมิทัศน์ของซอฟต์แวร์ที่ไม่ปลอดภัย

บันทึกค่าไถ่ที่ตกเป็นเหยื่อของ Mango Ransomware

เนื้อหาภายในไฟล์ข้อความสื่อสารว่าไฟล์ที่ไม่สามารถเข้าถึงได้นั้นได้รับการเข้ารหัส โดยเน้นย้ำถึงความจำเป็นที่เหยื่อจะต้องสร้างการติดต่อกับผู้โจมตีเพื่ออำนวยความสะดวกในกระบวนการถอดรหัส

ข้อความป๊อปอัพที่ขยายออกไปจะเจาะลึกถึงลักษณะเฉพาะของการติดไวรัสแรนซัมแวร์ โดยชี้แจงว่าการกู้คืนไฟล์ที่เข้ารหัสนั้นจำเป็นต้องมีการชำระค่าไถ่ จำนวนเงินค่าไถ่นี้ขึ้นอยู่กับความรวดเร็วของเหยื่อในการเข้าถึงอาชญากรไซเบอร์ ที่สำคัญการชำระเงินถูกกำหนดให้เป็น Bitcoin ซึ่งเป็นรูปแบบของสกุลเงินดิจิทัล

ก่อนที่จะยอมรับการเรียกร้องค่าไถ่ เหยื่อจะได้รับโอกาสทดสอบกระบวนการถอดรหัสในไฟล์ที่ได้รับผลกระทบสามไฟล์ ขึ้นอยู่กับข้อกำหนดบางประการ ในขณะเดียวกันก็มีการออกคำเตือนเตือน เตือนเหยื่อเกี่ยวกับการแก้ไขไฟล์ที่ถูกล็อค การใช้เครื่องมือถอดรหัสของบุคคลที่สาม และขอความช่วยเหลือจากบุคคลภายนอก สิ่งนี้เน้นย้ำถึงลักษณะที่สำคัญของการปฏิบัติตามคำแนะนำที่ระบุเพื่อเพิ่มโอกาสในการกู้คืนไฟล์ได้สำเร็จภายในพารามิเตอร์ที่ผู้โจมตีกำหนด

ความสามารถในการคุกคามของภัยคุกคาม Mango Ransomware

Mango ซึ่งจัดอยู่ในกลุ่มตัวแปรภายในตระกูล Phobos อยู่ในกลุ่มภัยคุกคามมัลแวร์ที่ซับซ้อน คุณลักษณะของมัลแวร์ตระกูล Phobos จะสร้างความแตกต่างด้วยการหลีกเลี่ยงอย่างมีกลยุทธ์ในการทำให้ระบบที่ติดไวรัสไม่ทำงาน ปล่อยให้ไฟล์สำคัญไม่ได้รับการเข้ารหัสเพื่อรักษาฟังก์ชันการทำงานของระบบ ตัวแปรแรนซัมแวร์นี้สามารถเข้ารหัสทั้งไฟล์ในเครื่องและไฟล์ที่แชร์ผ่านเครือข่าย

เพื่อให้มั่นใจถึงการเข้ารหัสที่มีประสิทธิภาพ Phobos Ransomware จะยุติกระบวนการที่เกี่ยวข้องกับไฟล์ที่อาจถือว่า 'ใช้งานอยู่' หรือเปิดอยู่ เช่น ที่อยู่ในโปรแกรมอ่านไฟล์ข้อความหรือโปรแกรมฐานข้อมูล จุดประสงค์คือเพื่อป้องกันการยกเว้นตามสถานะการใช้งานของไฟล์ระหว่างการเข้ารหัส

แม้ว่าโปรแกรม Phobos มีเป้าหมายเพื่อลดโอกาสของการเข้ารหัสซ้ำซ้อนโดยประหยัดไฟล์ที่ถูกล็อคโดยแรนซัมแวร์อื่น ๆ แต่แนวทางนี้มีข้อจำกัดโดยธรรมชาติ มันอาศัยรายการแรนซัมแวร์ที่กำหนดไว้ล่วงหน้า ซึ่งโดยธรรมชาติแล้ว ไม่สามารถรวมรูปแบบและการผสมผสานที่เป็นไปได้ทั้งหมดได้

เพื่อขัดขวางความพยายามในการกู้คืนข้อมูล มัลแวร์จะลบ Shadow Volume Copies นอกจากนี้ Phobos ยังมีคุณสมบัติการระบุตำแหน่งทางภูมิศาสตร์ ซึ่งช่วยให้สามารถรวบรวมข้อมูลและพิจารณาว่าจะดำเนินการเข้ารหัสตามปัจจัยต่างๆ เช่น ความแข็งแกร่งทางเศรษฐกิจหรือการพิจารณาทางภูมิรัฐศาสตร์หรือไม่

โปรแกรมเรียกค่าไถ่ เช่น Phobos ใช้เทคนิคหลายอย่างเพื่อให้มั่นใจถึงความคงอยู่ ซึ่งรวมถึงการคัดลอกตัวเองไปยังเส้นทางเฉพาะและการลงทะเบียนด้วยปุ่ม Run สำหรับฟังก์ชันการเริ่มต้นอัตโนมัติหลังจากระบบรีบูต

การถอดรหัสโดยไม่ต้องมีส่วนร่วมของผู้โจมตีนั้นแทบจะเป็นไปไม่ได้เลย ยกเว้นในกรณีที่แรนซัมแวร์แสดงข้อบกพร่องร้ายแรง แม้จะสนองความต้องการค่าไถ่ แต่เหยื่อมักจะไม่ได้รับเครื่องมือถอดรหัสที่สัญญาไว้ ดังนั้นการจ่ายค่าไถ่จึงไม่สนับสนุนอย่างยิ่ง เนื่องจากไม่รับประกันการกู้คืนข้อมูลหรือป้องกันการสนับสนุนกิจกรรมทางอาญา

หากต้องการขัดขวางการเข้ารหัสเพิ่มเติม การลบ Mango Ransomware ออกจากระบบปฏิบัติการจึงมีความจำเป็น อย่างไรก็ตาม สิ่งสำคัญที่ควรทราบคือกระบวนการลบจะไม่กู้คืนไฟล์ที่ถูกโจมตีโดยแรนซัมแวร์แล้ว สิ่งนี้จะลดความสำคัญของมาตรการป้องกันและแนวปฏิบัติด้านความปลอดภัยที่ครอบคลุมเพื่อลดผลกระทบของภัยคุกคามมัลแวร์ที่ซับซ้อนดังกล่าว

ข้อความทั้งหมดของบันทึกเรียกค่าไถ่ที่สร้างโดย Mango Ransomware คือ:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

วิธีรับ Bitcoins
วิธีที่ง่ายที่สุดในการซื้อ bitcoins คือไซต์ LocalBitcoins คุณต้องลงทะเบียน คลิก 'ซื้อ bitcoins' และเลือกผู้ขายตามวิธีการชำระเงินและราคา
hxxps://localbitcoins.com/buy_bitcoins
คุณสามารถหาสถานที่อื่น ๆ เพื่อซื้อ Bitcoins และคู่มือผู้เริ่มต้นได้ที่นี่:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

ความสนใจ!
อย่าเปลี่ยนชื่อไฟล์ที่เข้ารหัส
อย่าพยายามถอดรหัสข้อมูลของคุณโดยใช้ซอฟต์แวร์บุคคลที่สาม เพราะอาจทำให้ข้อมูลสูญหายอย่างถาวร
การถอดรหัสไฟล์ของคุณด้วยความช่วยเหลือจากบุคคลที่สามอาจทำให้เกิดราคาเพิ่มขึ้น (พวกเขาเพิ่มค่าธรรมเนียมให้กับเรา) หรือคุณอาจตกเป็นเหยื่อของการหลอกลวงได้

ไฟล์ข้อความที่สร้างโดยภัยคุกคามประกอบด้วยข้อความต่อไปนี้:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'