Програма-вимагач Mango
Експерти з кібербезпеки визнали Mango Ransomware як загрозливу програму. Це підступне програмне забезпечення використовує стратегію шифрування файлів на скомпрометованому пристрої та подальшого вимагання оплати за їх дешифрування. Після запуску в цільовій системі програма-вимагач Mango починає процес шифрування, змінюючи оригінальні назви відповідних файлів.
До цих імен файлів Mango додає ідентифікатор жертви, адресу електронної пошти відповідального кіберзлочинця та розширення «.mango». Як ілюстративний приклад, файл із початковою назвою «1.doc» перетворюється на «1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
Після завершення процесу шифрування зловмисне програмне забезпечення генерує дві ноти про викуп. Одна з цих нотаток відображається як спливаюче вікно під назвою "info.hta", а інша є текстовим файлом під назвою "info.txt". Ці файли зберігаються на робочому столі та розподіляються по всіх каталогах, де відбулося шифрування. Слід зазначити, що програмне забезпечення-вимагач Mango належить до сімейства програм-вимагачів Phobos , що відображає ширшу категоризацію в середовищі небезпечного програмного забезпечення.
Записка про викуп, залишена жертвам програми-вимагача Mango
Вміст текстового файлу повідомляє, що файли, які стали недоступними, зашифровано, підкреслюючи, що жертві необхідно встановити контакт із зловмисниками, щоб полегшити процес дешифрування.
Розширюючи інформацію, спливаюче повідомлення заглиблюється в специфіку зараження програмою-вимагачем. У ньому уточнюється, що відновлення зашифрованих файлів потребує виплати викупу. Сума цього викупу нібито залежить від того, наскільки швидко жертва зв’яжеться з кіберзлочинцями. Важливо, що оплата вказана в біткойнах, формі криптовалюти.
Перш ніж погодитися на вимоги викупу, жертві надається можливість перевірити процес розшифровки на трьох уражених файлах за певних умов. Одночасно видається застереження, яке радить жертві не змінювати заблоковані файли, використовувати інструменти дешифрування сторонніх розробників і звертатися за допомогою до зовнішніх сторін. Це підкреслює важливість дотримання вказаних інструкцій для оптимізації шансів на успішне відновлення файлів у межах параметрів, встановлених зловмисниками.
Загрозливі можливості програми-вимагача Mango
Mango, класифікований як варіант сімейства Phobos, належить до групи складних шкідливих програм. Характеристики зловмисного програмного забезпечення сімейства Phobos відрізняють його тим, що стратегічно уникають виведення заражених систем з ладу, залишаючи важливі файли незашифрованими для підтримки функціональності системи. Цей варіант програм-вимагачів здатний шифрувати як локальні файли, так і ті, що надаються в мережі.
Щоб забезпечити ефективне шифрування, програмне забезпечення-вимагач Phobos припиняє процеси, пов’язані з файлами, які можуть вважатися «використовуваними» або активно відкритими, наприклад у програмах для читання текстових файлів або програмах баз даних. Мета полягає в тому, щоб запобігти виняткам на основі активного стану файлів під час шифрування.
Хоча програми Phobos спрямовані на зменшення ймовірності подвійного шифрування, зберігаючи файли, заблоковані іншими програмами-вимагачами, цей підхід має невід’ємні обмеження. Він спирається на заздалегідь визначений список програм-вимагачів, який за своєю природою не може охоплювати всі можливі варіації та комбінації.
Щоб перешкодити спробам відновлення даних, зловмисне програмне забезпечення видаляє тіньові копії томів. Крім того, Phobos включає функцію геолокації, що дозволяє збирати дані та визначати, чи слід продовжувати шифрування на основі таких факторів, як економічна потужність або геополітичні міркування.
Програми-вимагачі, такі як Phobos, використовують кілька методів для забезпечення стійкості. Це включає копіювання їх у певні шляхи та реєстрацію за допомогою клавіш Run для функції автоматичного запуску після перезавантаження системи.
Розшифровка без участі зловмисників рідко можлива, за винятком випадків, коли програма-вимагач має серйозні недоліки. Незважаючи на задоволення вимог викупу, жертви часто не отримують обіцяних інструментів дешифрування. Тому сплачувати викуп настійно не рекомендується, оскільки це не гарантує відновлення даних і не запобігає підтримці злочинної діяльності.
Щоб перешкодити подальшому шифруванню, необхідно видалити Mango Ransomware з операційної системи. Однак важливо зазначити, що процес видалення не відновлює файли, уже скомпрометовані програмою-вимагачем. Це зменшує важливість профілактичних заходів і комплексних практик безпеки для мінімізації впливу таких складних загроз зловмисного програмного забезпечення.
Повний текст записки про викуп, створений програмою-вимагачем Mango, такий:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Як отримати біткоіни
Найпростіший спосіб купити біткоіни - сайт LocalBitcoins. Вам необхідно зареєструватися, натиснути «Купити біткоіни» та вибрати продавця за способом оплати та ціною.
hxxps://localbitcoins.com/buy_bitcoins
Також ви можете знайти інші місця для покупки біткойнів і посібник для початківців тут:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Увага!
Не перейменовуйте зашифровані файли.
Не намагайтеся розшифрувати свої дані за допомогою стороннього програмного забезпечення, це може призвести до остаточної втрати даних.
Розшифровка ваших файлів за допомогою третіх сторін може спричинити підвищення ціни (вони додають свою плату до нашої), або ви можете стати жертвою шахраїв».
Текстовий файл, створений загрозою, містить таке повідомлення:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
