Mango Ransomware

网络安全专家已将 Mango 勒索软件确定为威胁程序。这种阴险的软件采用一种策略，对受感染设备上的文件进行加密，然后要求为其解密付费。一旦在目标系统上启动，Mango 勒索软件就会开始加密过程，修改相关文件的原始文件名。

Mango 在这些文件名中附加了分配给受害者的独特 ID、网络犯罪分子的电子邮件地址以及“.mango”扩展名。作为说明性示例，最初标记为“1.doc”的文件转换为“1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango”。

加密过程完成后，恶意软件会生成两张勒索信。其中一个注释显示为标题为“info.hta”的弹出窗口，而另一个注释是名为“info.txt”的文本文件。这些文件被存放在桌面上并分布在所有发生加密的目录中。值得注意的是，Mango 勒索软件属于Phobos 勒索软件家族，反映了不安全软件领域更广泛的分类。

留给 Mango 勒索软件受害者的赎金字条

文本文件中的内容表明无法访问的文件已经过加密，强调受害者需要与攻击者建立联系以促进解密过程。

弹出消息扩展了该信息，深入探讨了勒索软件感染的具体情况。它澄清，恢复加密文件需要支付赎金。据称，赎金的金额取决于受害者联系网络犯罪分子的速度。重要的是，付款指定以比特币（一种加密货币）进行。

在默许赎金要求之前，受害者有机会在三个受影响的文件上测试解密过程，但须遵守某些规范。同时，会发出警告，建议受害者不要对锁定文件进行任何修改、使用第三方解密工具以及寻求外部各方的帮助。这强调了遵守指定指令的重要性，以优化在攻击者设置的参数内成功恢复文件的机会。

Mango 勒索软件威胁的威胁能力

Mango 被归类为 Phobos 家族的变种，属于一组复杂的恶意软件威胁。 Phobos 系列恶意软件的特点使其与众不同，它可以策略性地避免使受感染的系统无法运行，从而使关键文件保持未加密状态以维持系统功能。该勒索软件变种能够加密本地文件和通过网络共享的文件。

为了确保有效加密，Phobos 勒索软件会终止与可能被视为“正在使用”或主动打开的文件相关的进程，例如文本文件阅读器或数据库程序中的文件。目的是防止在加密期间根据文件的活动状态进行豁免。

虽然 Phobos 程序旨在通过保护被其他勒索软件锁定的文件来减少双重加密的可能性，但这种方法具有固有的局限性。它依赖于预先确定的勒索软件列表，该列表本质上无法涵盖所有潜在的变体和组合。

为了阻碍数据恢复工作，恶意软件会删除卷影卷副本。此外，Phobos 还包括地理定位功能，使其能够收集数据并根据经济实力或地缘政治考虑等因素确定是否继续加密。

像 Phobos 这样的勒索软件程序采用多种技术来确保持久性。这包括将自身复制到特定路径并使用运行键注册以在系统重新启动后实现自动启动功能。

除非勒索软件存在严重缺陷，否则在没有攻击者参与的情况下解密几乎是不可能的。尽管满足了赎金要求，受害者通常不会收到承诺的解密工具。因此，强烈建议不要支付赎金，因为它既不能保证数据恢复，也不能阻止对犯罪活动的支持。

为了阻止进一步的加密，必须从操作系统中删除 Mango 勒索软件。然而，值得注意的是，删除过程不会恢复已被勒索软件破坏的文件。这降低了预防措施和全面安全实践的重要性，以尽量减少此类复杂恶意软件威胁的影响。

Mango勒索软件生成的勒索信全文如下：

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

如何获得比特币
购买比特币最简单的方法是 LocalBitcoins 网站。您必须注册，点击“购买比特币”，然后按付款方式和价格选择卖家。
hxxps://localbitcoins.com/buy_bitcoins
您还可以在这里找到其他购买比特币的地方和初学者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
不要重命名加密文件。
请勿尝试使用第三方软件解密您的数据，这可能会导致永久数据丢失。
在第三方的帮助下解密您的文件可能会导致价格上涨（他们将其费用添加到我们的费用中），或者您可能成为骗局的受害者。

威胁创建的文本文件包含以下消息：

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'