Το Mango Ransomware βασίζεται στο Phobos

Το Mango ransomware, ένα κακόβουλο πρόγραμμα που εντοπίστηκε από τους ερευνητές μας, ανήκει στην οικογένεια ransomware Phobos. Το Mango λειτουργεί κρυπτογραφώντας αρχεία και απαιτώντας πληρωμή για την αποκρυπτογράφηση τους.

Κατά την εκτέλεση ενός δείγματος αυτού του ransomware στο μηχάνημα δοκιμής μας, προχώρησε στην κρυπτογράφηση αρχείων και την τροποποίηση των ονομάτων των αρχείων τους. Οι αρχικοί τίτλοι αρχείων προστέθηκαν με ένα μοναδικό αναγνωριστικό που εκχωρήθηκε στο θύμα, τη διεύθυνση ηλεκτρονικού ταχυδρομείου του εγκληματία στον κυβερνοχώρο και μια επέκταση ".mango". Για παράδειγμα, ένα αρχείο με το όνομα "1.jpg" μετατράπηκε σε "1.jpg.id[9ECFA84E-3316].[duckjahana@onionmail.com].mango."

Με την ολοκλήρωση της διαδικασίας κρυπτογράφησης, δημιουργήθηκαν δύο σημειώματα λύτρων. Το ένα παρουσιάστηκε σε ένα αναδυόμενο παράθυρο με τίτλο "info.hta" και το άλλο ήταν ένα αρχείο κειμένου με το όνομα "info.txt", που κατατέθηκε στην επιφάνεια εργασίας και σε όλους τους κρυπτογραφημένους καταλόγους.

Το μήνυμα στο αρχείο κειμένου γνωστοποιεί ότι τα αρχεία δεν είναι πλέον προσβάσιμα καθώς έχουν κρυπτογραφηθεί και προτρέπει το θύμα να απευθυνθεί στους εισβολείς για αποκρυπτογράφηση δεδομένων.

Το αναδυόμενο παράθυρο παρέχει περισσότερες λεπτομέρειες σχετικά με τη μόλυνση από ransomware, προσδιορίζοντας ότι η ανάκτηση αρχείων απαιτεί την πληρωμή λύτρων. Το ποσό υποτίθεται ότι εξαρτάται από το πόσο έγκαιρα το θύμα επικοινωνεί με τους κυβερνοεγκληματίες και η πληρωμή θα γίνει σε κρυπτονομίσματα Bitcoin.

Προτού συμμορφωθεί με τις απαιτήσεις για λύτρα, παρέχεται στο θύμα η επιλογή να δοκιμάσει τη διαδικασία αποκρυπτογράφησης σε τρία επηρεαζόμενα αρχεία, σύμφωνα με ορισμένες προδιαγραφές. Το θύμα προειδοποιείται ρητά να μην τροποποιήσει τα κλειδωμένα αρχεία, να χρησιμοποιήσει εργαλεία αποκρυπτογράφησης τρίτων ή να ζητήσει βοήθεια από τρίτους.

Το Mango Ransom Note αντιγράφει τη διάταξη Phobos

Το πλήρες κείμενο του σημειώματος για τα λύτρα Mango έχει ως εξής:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Πώς να αποκτήσετε Bitcoins
Ο ευκολότερος τρόπος για να αγοράσετε bitcoin είναι ο ιστότοπος LocalBitcoins. Πρέπει να εγγραφείτε, να κάνετε κλικ στο «Αγοράστε bitcoins» και να επιλέξετε τον πωλητή κατά τρόπο πληρωμής και τιμή.
hxxps://localbitcoins.com/buy_bitcoins
Επίσης, μπορείτε να βρείτε άλλα μέρη για να αγοράσετε Bitcoins και οδηγό για αρχάριους εδώ:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Προσοχή!
Μην μετονομάζετε κρυπτογραφημένα αρχεία.
Μην προσπαθήσετε να αποκρυπτογραφήσετε τα δεδομένα σας χρησιμοποιώντας λογισμικό τρίτων, μπορεί να προκαλέσει μόνιμη απώλεια δεδομένων.
Η αποκρυπτογράφηση των αρχείων σας με τη βοήθεια τρίτων μπορεί να προκαλέσει αυξημένη τιμή (προσθέτουν την αμοιβή τους στο δικό μας) ή να γίνετε θύμα απάτης.

Πώς μπορείτε να προστατεύσετε καλύτερα τα δεδομένα σας από Ransomware;

Η προστασία των δεδομένων σας από ransomware περιλαμβάνει την εφαρμογή ενός συνδυασμού προληπτικών μέτρων και προληπτικών πρακτικών. Ακολουθούν ορισμένες αποτελεσματικές στρατηγικές για την προστασία των δεδομένων σας από επιθέσεις ransomware:

Τακτικά αντίγραφα ασφαλείας:
Εκτελέστε τακτικά και αυτοματοποιημένα αντίγραφα ασφαλείας των σημαντικών δεδομένων σας. Βεβαιωθείτε ότι τα αντίγραφα ασφαλείας αποθηκεύονται σε μια τοποθεσία που δεν είναι άμεσα προσβάσιμη από το κύριο δίκτυό σας για να αποτρέψετε το ransomware να τα επηρεάσει.

Αντίγραφα ασφαλείας εκτός σύνδεσης:
Διατηρήστε αντίγραφα ασφαλείας εκτός σύνδεσης εκτός από τα αντίγραφα ασφαλείας στο διαδίκτυο. Αυτό μπορεί να περιλαμβάνει εξωτερικούς σκληρούς δίσκους ή αποθήκευση στο σύννεφο εκτός σύνδεσης. Δεδομένου ότι το ransomware συνήθως στοχεύει συνδεδεμένο και προσβάσιμο σε δίκτυο χώρο αποθήκευσης, τα αντίγραφα ασφαλείας εκτός σύνδεσης είναι λιγότερο ευάλωτα σε επιθέσεις.

Ενημερώστε τακτικά το λογισμικό:
Βεβαιωθείτε ότι το λειτουργικό σας σύστημα, το λογισμικό προστασίας από ιούς και όλες οι εφαρμογές σας είναι ενημερωμένα με τις πιο πρόσφατες ενημερώσεις κώδικα ασφαλείας. Οι τακτικές ενημερώσεις συμβάλλουν στην προστασία από γνωστές ευπάθειες που μπορεί να εκμεταλλευτεί το ransomware.

Εκπαίδευση υπαλλήλων:
Παρέχετε εκπαίδευση για την ασφάλεια στον κυβερνοχώρο στους υπαλλήλους ώστε να αναγνωρίζουν μηνύματα ηλεκτρονικού ψαρέματος, κακόβουλα συνημμένα και άλλες τακτικές κοινωνικής μηχανικής που χρησιμοποιούνται από εισβολείς. Η ευαισθητοποίηση μπορεί να αποτρέψει τους χρήστες από το να ξεκινήσουν ακούσια μολύνσεις ransomware.

Χρησιμοποιήστε ισχυρό λογισμικό ασφαλείας:
Εγκαταστήστε αξιόπιστο λογισμικό προστασίας από ιούς και κακόβουλο λογισμικό σε όλες τις συσκευές. Διατηρήστε αυτά τα προγράμματα ενημερωμένα για να διασφαλίσετε ότι μπορούν να εντοπίσουν και να μετριάσουν νέες απειλές, συμπεριλαμβανομένων των εξελισσόμενων παραλλαγών ransomware.

Τμηματοποίηση δικτύου:
Εφαρμόστε τμηματοποίηση δικτύου για να περιορίσετε την πλευρική κίνηση κακόβουλου λογισμικού εντός του δικτύου σας. Αυτό βοηθά στον περιορισμό του αντίκτυπου μιας πιθανής μόλυνσης από ransomware και αποτρέπει την εξάπλωσή του σε κρίσιμα συστήματα.