Mango Ransomware

網路安全專家已將 Mango 勒索軟體確定為威脅程式。這種陰險的軟體採用一種策略，對受感染裝置上的檔案進行加密，然後要求為其解密付費。一旦在目標系統上啟動，Mango 勒索軟體就會開始加密過程，修改相關檔案的原始檔案名稱。

Mango 在這些檔案名稱中附加了分配給受害者的獨特 ID、網路犯罪分子的電子郵件地址以及「.mango」副檔名。作為說明性範例，最初標記為「1.doc」的文件轉換為「1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango」。

加密過程完成後，惡意軟體會產生兩張勒索信。其中一個註釋顯示為標題為“info.hta”的彈出窗口，而另一個註釋是名為“info.txt”的文字檔案。這些文件被存放在桌面上並分佈在所有發生加密的目錄中。值得注意的是，Mango 勒索軟體屬於Phobos 勒索軟體家族，反映了不安全軟體領域更廣泛的分類。

留給 Mango 勒索軟體受害者的贖金字條

文字檔案中的內容表明無法存取的檔案已經加密，強調受害者需要與攻擊者建立聯繫以促進解密過程。

彈出訊息擴展了該訊息，深入探討了勒索軟體感染的具體情況。它澄清，恢復加密文件需要支付贖金。據稱，贖金的金額取決於受害者聯繫網路犯罪分子的速度。重要的是，付款指定以比特幣（一種加密貨幣）進行。

在默許贖金要求之前，受害者有機會在三個受影響的文件上測試解密過程，但須遵守某些規範。同時，會發出警告，建議受害者不要對鎖定文件進行任何修改、使用第三方解密工具以及尋求外部各方的協助。這強調了遵守指定指令的重要性，以優化在攻擊者設定的參數內成功恢復檔案的機會。

Mango 勒索軟體威脅的威脅能力

Mango 被歸類為 Phobos 家族的變種，屬於一群複雜的惡意軟體威脅。 Phobos 系列惡意軟體的特點使其與眾不同，它可以策略性地避免使受感染的系統無法運行，從而使關鍵檔案保持未加密狀態以維持系統功能。此勒索軟體變種能夠加密本地檔案和透過網路共享的檔案。

為了確保有效的加密，Phobos 勒索軟體會終止與可能被視為「正在使用」或主動開啟的檔案相關的進程，例如文字檔案讀取器或資料庫程式中的檔案。目的是防止在加密期間根據文件的活動狀態進行豁免。

雖然 Phobos 程式旨在透過保護被其他勒索軟體鎖定的檔案來減少雙重加密的可能性，但這種方法具有固有的限制。它依賴於預先確定的勒索軟體列表，該列表本質上無法涵蓋所有潛在的變體和組合。

為了阻礙資料復原工作，惡意軟體會刪除卷影卷副本。此外，Phobos 還包括地理定位功能，使其能夠收集數據並根據經濟實力或地緣政治考慮等因素確定是否繼續加密。

像 Phobos 這樣的勒索軟體程式採用多種技術來確保持久性。這包括將自身複製到特定路徑並使用運行鍵註冊以在系統重新啟動後實現自動啟動功能。

除非勒索軟體存在嚴重缺陷，否則在沒有攻擊者參與的情況下解密幾乎是不可能的。儘管滿足了贖金要求，受害者通常不會收到承諾的解密工具。因此，強烈建議不要支付贖金，因為它既不能保證資料恢復，也不能阻止對犯罪活動的支持。

為了阻止進一步的加密，必須從作業系統中移除 Mango 勒索軟體。然而，值得注意的是，刪除過程不會恢復已被勒索軟體破壞的檔案。這降低了預防措施和全面安全實踐的重要性，以盡量減少此類複雜惡意軟體威脅的影響。

Mango勒索軟體產生的勒索信全文如下：

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

如何獲得比特幣
購買比特幣最簡單的方法就是 LocalBitcoins 網站。您必須註冊，點擊“購買比特幣”，然後按付款方式和價格選擇賣家。
hxxps://localbitcoins.com/buy_bitcoins
您也可以在這裡找到其他購買比特幣的地方和初學者指南：
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

注意力！
不要重新命名加密檔案。
請勿嘗試使用第三方軟體解密您的數據，這可能會導致永久資料遺失。
在第三方的幫助下解密您的文件可能會導致價格上漲（他們將其費用添加到我們的費用中），或者您可能成為騙局的受害者。

威脅建立的文字檔案包含以下訊息：

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'