Mango Ransomware

Mango Ransomware, siber güvenlik uzmanları tarafından tehdit edici bir program olarak tanımlandı. Bu sinsi yazılım, ele geçirilen cihazdaki dosyaları şifreleme ve ardından şifrenin çözülmesi için ödeme talep etme stratejisini kullanır. Mango Ransomware, hedeflenen sistemde başlatıldığında, söz konusu dosyaların orijinal dosya adlarını değiştirerek şifreleme işlemini başlatır.

Mango bu dosya adlarına kurbana atanan ayırt edici bir kimlik, sorumlu siber suçlunun e-posta adresi ve bir '.mango' uzantısı ekler. Açıklayıcı bir örnek olarak, orijinal olarak '1.doc' etiketli bir dosya '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango'ya dönüşür.

Şifreleme işleminin tamamlanmasının ardından, kötü amaçlı yazılım iki fidye notu oluşturur. Bu notlardan biri 'info.hta' başlıklı bir açılır pencere olarak görünürken, diğeri 'info.txt' adlı bir metin dosyasıdır. Bu dosyalar masaüstüne depolanır ve şifrelemenin gerçekleştiği tüm dizinlere dağıtılır. Mango Ransomware'in Phobos Ransomware ailesine ait olması dikkat çekicidir ve bu, güvenli olmayan yazılımlar alanında daha geniş bir kategorizasyonu yansıtır.

Mango Fidye Yazılımının Kurbanlarına Bırakılan Fidye Notu

Metin dosyasının içeriği, erişilemez hale getirilen dosyaların şifrelendiğini bildiriyor ve mağdurun, şifre çözme sürecini kolaylaştırmak için saldırganlarla iletişim kurması gerektiğini vurguluyor.

Açılır mesaj, bilgilerin genişletilmesiyle fidye yazılımı bulaşmasının ayrıntılarına iniyor. Şifrelenmiş dosyaların kurtarılmasının fidye ödenmesini gerektirdiğini açıklıyor. Bu fidyenin miktarının, kurbanın siber suçlulara ne kadar hızlı ulaştığına bağlı olduğu iddia ediliyor. Daha da önemlisi, ödemenin bir tür kripto para birimi olan Bitcoin ile yapılacağı belirtiliyor.

Fidye taleplerini kabul etmeden önce mağdura, belirli spesifikasyonlara bağlı olarak, etkilenen üç dosya üzerinde şifre çözme sürecini test etme fırsatı veriliyor. Eş zamanlı olarak, mağdura kilitli dosyalarda herhangi bir değişiklik yapılmasına, üçüncü taraf şifre çözme araçlarının kullanılmasına ve harici taraflardan yardım istenmesine karşı uyarıda bulunan bir uyarı uyarısı yayınlanır. Bu, saldırganların belirlediği parametreler dahilinde başarılı dosya kurtarma şansını optimize etmek için belirtilen talimatlara bağlı kalmanın kritik niteliğinin altını çiziyor.

Mango Fidye Yazılımı Tehdidinin Tehdit Edici Yetenekleri

Phobos ailesinin bir çeşidi olarak sınıflandırılan Mango, bir grup gelişmiş kötü amaçlı yazılım tehdidine aittir. Phobos ailesi kötü amaçlı yazılımların özellikleri, virüs bulaşmış sistemleri çalışmaz hale getirmekten stratejik olarak kaçınarak ve sistem işlevselliğini korumak için önemli dosyaları şifrelenmemiş bırakarak onu farklılaştırır. Bu fidye yazılımı çeşidi, hem yerel dosyaları hem de ağ üzerinden paylaşılan dosyaları şifreleme yeteneğine sahiptir.

Etkili şifrelemeyi sağlamak için Phobos Ransomware, metin dosyası okuyucuları veya veritabanı programlarındaki dosyalar gibi 'kullanımda' veya aktif olarak açık sayılabilecek dosyalarla ilişkili işlemleri sonlandırır. Amaç, şifreleme sırasında dosyaların etkin durumuna bağlı olarak muafiyetleri önlemektir.

Phobos programları, diğer fidye yazılımları tarafından kilitlenen dosyaları koruyarak çift şifreleme olasılığını azaltmayı amaçlasa da, bu yaklaşımın doğası gereği sınırlamaları vardır. Doğası gereği tüm potansiyel varyasyonları ve kombinasyonları kapsayamayan, önceden belirlenmiş bir fidye yazılımı listesine dayanır.

Kötü amaçlı yazılım, veri kurtarma çabalarını engellemek için Gölge Birim Kopyalarını siler. Ek olarak Phobos, veri toplamasına ve ekonomik güç veya jeopolitik hususlar gibi faktörlere dayalı olarak şifrelemeye devam edilip edilmeyeceğine karar vermesine olanak tanıyan bir coğrafi konum özelliği içerir.

Phobos gibi fidye yazılımı programları kalıcılığı sağlamak için birden fazla teknik kullanır. Bu, kendilerini belirli yollara kopyalamayı ve sistemin yeniden başlatılmasının ardından otomatik başlatma işlevi için Çalıştır tuşlarına kaydolmayı içerir.

Saldırganların müdahalesi olmadan şifre çözme, fidye yazılımının ciddi kusurlar gösterdiği durumlar dışında nadiren mümkün olur. Fidye taleplerini karşılamalarına rağmen kurbanlar genellikle vaat edilen şifre çözme araçlarını alamıyor. Bu nedenle, fidyenin ödenmesi kesinlikle önerilmez; zira fidye, veri kurtarmayı garanti etmez veya suç faaliyetlerine destek verilmesini engellemez.

Daha fazla şifrelemeyi engellemek için Mango Ransomware'in işletim sisteminden kaldırılması zorunludur. Ancak, kaldırma işleminin fidye yazılımı tarafından zaten ele geçirilmiş dosyaları geri yüklemediğini unutmamak çok önemlidir. Bu, bu tür karmaşık kötü amaçlı yazılım tehditlerinin etkisini en aza indirmek için önleyici tedbirlerin ve kapsamlı güvenlik uygulamalarının önemini azaltır.

Mango Ransomware tarafından oluşturulan fidye notunun tam metni şöyledir:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Bitcoin nasıl elde edilir
Bitcoin satın almanın en kolay yolu LocalBitcoins sitesidir. Kayıt olmanız, 'Bitcoin satın al' seçeneğini tıklamanız ve ödeme yöntemi ve fiyatına göre satıcıyı seçmeniz gerekir.
hxxps://localbitcoins.com/buy_bitcoins
Ayrıca Bitcoin satın alabileceğiniz diğer yerleri ve yeni başlayanlar kılavuzunu burada bulabilirsiniz:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Dikkat!
Şifrelenmiş dosyaları yeniden adlandırmayın.
Üçüncü parti yazılımlar kullanarak verilerinizin şifresini çözmeye çalışmayın, kalıcı veri kaybına neden olabilir.
Dosyalarınızın üçüncü şahısların yardımıyla şifresinin çözülmesi, fiyatların artmasına neden olabilir (ücretlerini bizim ücretimize eklerler) veya bir dolandırıcılığın kurbanı olabilirsiniz.'

Tehdidin oluşturduğu metin dosyası aşağıdaki mesajı içeriyor:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'