Программа-вымогатель Mango основана на Фобосе

Вредоносная программа Mango, выявленная нашими исследователями, принадлежит к семейству программ-вымогателей Phobos. Mango шифрует файлы и требует плату за их расшифровку.

После запуска образца этого вымогателя на нашей тестовой машине он приступил к шифрованию файлов и изменению их имен. Оригинальные названия файлов были дополнены уникальным идентификатором, присвоенным жертве, адресом электронной почты киберпреступника и расширением «.mango». Например, файл с именем «1.jpg» был преобразован в «1.jpg.id[9ECFA84E-3316].[duckjahana@onionmail.com].mango».

После завершения процесса шифрования были созданы две записки о выкупе. Один из них был представлен во всплывающем окне под названием «info.hta», а другой представлял собой текстовый файл с именем «info.txt», хранящийся на рабочем столе и во всех зашифрованных каталогах.

Сообщение в текстовом файле сообщает, что файлы теперь недоступны, поскольку они зашифрованы, и призывает жертву обратиться к злоумышленникам для расшифровки данных.

Во всплывающем окне предоставляется дополнительная информация о заражении программой-вымогателем, в которой указывается, что восстановление файлов требует уплаты выкупа. Сумма якобы зависит от того, насколько быстро жертва свяжется с киберпреступниками, а оплата будет произведена в криптовалюте Bitcoin.

Прежде чем выполнить требования о выкупе, жертве предоставляется возможность протестировать процесс расшифровки трех затронутых файлов при соблюдении определенных спецификаций. Жертву явно предостерегают от изменения заблокированных файлов, использования сторонних инструментов дешифрования или обращения за помощью к третьим лицам.

Копии записки о выкупе Манго, макет Фобоса

Полный текст записки о выкупе Mango выглядит следующим образом:

All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

Как получить биткойны
Самый простой способ купить биткойны — это сайт LocalBitcoins. Вам необходимо зарегистрироваться, нажать «Купить биткойны» и выбрать продавца по способу оплаты и цене.
hxxps://localbitcoins.com/buy_bitcoins
Также вы можете найти другие места для покупки биткойнов и руководство для начинающих здесь:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Внимание!
Не переименовывайте зашифрованные файлы.
Не пытайтесь расшифровать ваши данные с помощью стороннего программного обеспечения, это может привести к безвозвратной потере данных.
Расшифровка ваших файлов с помощью третьих лиц может привести к увеличению цены (они добавляют свою комиссию к нашей) или вы можете стать жертвой мошенничества.

Как лучше всего защитить свои данные от программ-вымогателей?

Защита ваших данных от программ-вымогателей включает в себя сочетание превентивных мер и превентивных мер. Вот несколько эффективных стратегий защиты ваших данных от атак программ-вымогателей:

Регулярное резервное копирование:
Выполняйте регулярное и автоматическое резервное копирование важных данных. Убедитесь, что резервные копии хранятся в месте, недоступном напрямую из вашей основной сети, чтобы предотвратить воздействие на них программ-вымогателей.

Автономные резервные копии:
Сохраняйте автономные резервные копии в дополнение к онлайн-резервным копиям. Это могут быть внешние жесткие диски или автономное облачное хранилище. Поскольку программы-вымогатели обычно нацелены на подключенные и доступные по сети хранилища, автономные резервные копии менее уязвимы для атак.

Регулярно обновляйте программное обеспечение:
Убедитесь, что ваша операционная система, антивирусное программное обеспечение и все приложения обновлены последними обновлениями безопасности. Регулярные обновления помогают защититься от известных уязвимостей, которыми могут воспользоваться программы-вымогатели.

Обучение персонала:
Проведите обучение сотрудников по кибербезопасности, чтобы они могли распознавать фишинговые электронные письма, вредоносные вложения и другие приемы социальной инженерии, используемые злоумышленниками. Осведомленность может предотвратить случайное заражение пользователей программами-вымогателями.

Используйте надежное программное обеспечение безопасности:
Установите надежное антивирусное и антивирусное программное обеспечение на все устройства. Постоянно обновляйте эти программы, чтобы они могли обнаруживать и устранять новые угрозы, включая развивающиеся варианты программ-вымогателей.

Сегментация сети:
Внедрите сегментацию сети, чтобы ограничить горизонтальное перемещение вредоносных программ внутри вашей сети. Это помогает сдержать воздействие потенциального заражения программами-вымогателями и предотвратить его распространение на критически важные системы.