Mango Ransomware
Le Mango Ransomware a été identifié comme programme menaçant par les experts en cybersécurité. Ce logiciel insidieux utilise une stratégie consistant à crypter les fichiers sur l'appareil compromis et à exiger ensuite un paiement pour leur décryptage. Une fois lancé sur le système ciblé, le Mango Ransomware commence le processus de cryptage, modifiant les noms de fichiers originaux des fichiers en question.
À ces noms de fichiers, Mango ajoute un identifiant distinctif attribué à la victime, l'adresse e-mail du cybercriminel responsable et une extension « .mango ». À titre d'exemple illustratif, un fichier initialement intitulé « 1.doc » se transforme en « 1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.
Une fois le processus de cryptage terminé, le malware génère deux demandes de rançon. L'une de ces notes apparaît sous la forme d'une fenêtre contextuelle intitulée « info.hta », tandis que l'autre est un fichier texte nommé « info.txt ». Ces fichiers sont déposés sur le bureau et distribués dans tous les répertoires où le cryptage a eu lieu. Il convient de noter que Mango Ransomware appartient à la famille Phobos Ransomware , reflétant une catégorisation plus large dans le paysage des logiciels dangereux.
La note de rançon laissée aux victimes du ransomware Mango
Le contenu du fichier texte indique que les fichiers rendus inaccessibles ont été cryptés, soulignant la nécessité pour la victime d'établir un contact avec les attaquants pour faciliter le processus de décryptage.
Développant les informations, le message contextuel approfondit les spécificités de l'infection par le ransomware. Il précise que la récupération des fichiers cryptés nécessite le paiement d'une rançon. Le montant de cette rançon dépendrait de la rapidité avec laquelle la victime contacte les cybercriminels. Il est important de noter que le paiement doit être effectué en Bitcoin, une forme de crypto-monnaie.
Avant d'accepter les demandes de rançon, la victime a la possibilité de tester le processus de décryptage sur trois fichiers concernés, sous réserve de certaines spécifications. Simultanément, un avertissement est émis, déconseillant à la victime toute modification des fichiers verrouillés, l'utilisation d'outils de décryptage tiers et la sollicitation de l'aide de tiers. Cela souligne la nature critique du respect des instructions spécifiées pour optimiser les chances de réussite de la récupération des fichiers dans les paramètres définis par les attaquants.
Capacités menaçantes de la menace Mango Ransomware
Mango, classé comme variante au sein de la famille Phobos, appartient à un groupe de menaces de logiciels malveillants sophistiqués. Les caractéristiques des logiciels malveillants de la famille Phobos le différencient en évitant stratégiquement de rendre les systèmes infectés non opérationnels, en laissant les fichiers cruciaux non cryptés pour maintenir la fonctionnalité du système. Cette variante du ransomware est capable de crypter à la fois les fichiers locaux et ceux partagés sur un réseau.
Pour garantir un cryptage efficace, Phobos Ransomware met fin aux processus associés aux fichiers qui pourraient être considérés comme « en cours d'utilisation » ou activement ouverts, tels que ceux des lecteurs de fichiers texte ou des programmes de base de données. L'intention est d'empêcher les exemptions basées sur l'état actif des fichiers pendant le cryptage.
Bien que les programmes Phobos visent à réduire le risque de double cryptage en épargnant les fichiers verrouillés par d'autres ransomwares, cette approche présente des limites inhérentes. Il s’appuie sur une liste de ransomwares prédéterminée qui, de par sa nature, ne peut pas englober toutes les variations et combinaisons potentielles.
Pour entraver les efforts de récupération des données, le logiciel malveillant supprime les clichés instantanés des volumes. De plus, Phobos inclut une fonction de géolocalisation, lui permettant de collecter des données et de déterminer s'il convient de procéder au cryptage en fonction de facteurs tels que la force économique ou des considérations géopolitiques.
Les programmes Ransomware comme Phobos utilisent plusieurs techniques pour assurer la persistance. Cela inclut la copie de eux-mêmes sur des chemins spécifiques et l'enregistrement auprès des clés Run pour la fonctionnalité de démarrage automatique après le redémarrage du système.
Le décryptage sans l’implication des attaquants est rarement réalisable, sauf dans les cas où le ransomware présente de graves défauts. Bien qu’elles répondent aux demandes de rançon, les victimes ne reçoivent souvent pas les outils de décryptage promis. Par conséquent, le paiement de la rançon est fortement déconseillé, car cela ne garantit pas la récupération des données ni n’empêche le soutien à des activités criminelles.
Pour contrecarrer d’autres cryptages, il est impératif de supprimer Mango Ransomware du système d’exploitation. Cependant, il est crucial de noter que le processus de suppression ne restaure pas les fichiers déjà compromis par le ransomware. Cela diminue l'importance des mesures préventives et des pratiques de sécurité complètes pour minimiser l'impact de ces menaces de logiciels malveillants sophistiqués.
Le texte complet de la demande de rançon générée par Mango Ransomware est :
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Comment obtenir des Bitcoins
Le moyen le plus simple d’acheter des bitcoins est le site LocalBitcoins. Vous devez vous inscrire, cliquer sur « Acheter des bitcoins » et sélectionner le vendeur par mode de paiement et prix.
hxxps://localbitcoins.com/buy_bitcoins
Vous pouvez également trouver d’autres endroits pour acheter des Bitcoins et un guide pour débutants ici :
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/Attention!
Ne renommez pas les fichiers cryptés.
N'essayez pas de décrypter vos données à l'aide d'un logiciel tiers, cela pourrait entraîner une perte permanente de données.
Le décryptage de vos fichiers avec l'aide de tiers peut entraîner une augmentation de prix (ils ajoutent leurs frais aux nôtres) ou vous pouvez devenir victime d'une arnaque.
Le fichier texte créé par la menace contient le message suivant :
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
