Mango-Ransomware

Die Mango Ransomware wurde von Cybersicherheitsexperten als bedrohliches Programm identifiziert. Diese heimtückische Software nutzt die Strategie, Dateien auf dem kompromittierten Gerät zu verschlüsseln und anschließend eine Zahlung für deren Entschlüsselung zu verlangen. Sobald die Mango Ransomware auf dem Zielsystem gestartet wird, beginnt sie mit dem Verschlüsselungsprozess und ändert die ursprünglichen Dateinamen der betreffenden Dateien.

An diese Dateinamen hängt Mango eine eindeutige, dem Opfer zugewiesene ID, die E-Mail-Adresse des verantwortlichen Cyberkriminellen und die Erweiterung „.mango“ an. Als anschauliches Beispiel wird eine Datei mit der ursprünglichen Bezeichnung „1.doc“ in „1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango umgewandelt.“

Nach Abschluss des Verschlüsselungsprozesses generiert die Malware zwei Lösegeldforderungen. Eine dieser Notizen erscheint als Popup-Fenster mit dem Titel „info.hta“, während die andere eine Textdatei mit dem Namen „info.txt“ ist. Diese Dateien werden auf dem Desktop abgelegt und über alle Verzeichnisse verteilt, in denen eine Verschlüsselung erfolgt ist. Bemerkenswert ist, dass die Mango-Ransomware zur Phobos-Ransomware- Familie gehört, was eine breitere Kategorisierung innerhalb der Landschaft unsicherer Software widerspiegelt.

Der Lösegeldschein, der den Opfern der Mango-Ransomware hinterlassen wurde

Der Inhalt der Textdatei zeigt an, dass die unzugänglich gemachten Dateien einer Verschlüsselung unterzogen wurden, und betont, dass das Opfer Kontakt zu den Angreifern aufnehmen muss, um den Entschlüsselungsprozess zu erleichtern.

Die Popup-Nachricht erweitert die Informationen und geht auf die Einzelheiten der Ransomware-Infektion ein. Darin wird klargestellt, dass für die Wiederherstellung der verschlüsselten Dateien die Zahlung eines Lösegelds erforderlich ist. Die Höhe dieses Lösegelds hängt angeblich davon ab, wie schnell sich das Opfer an die Cyberkriminellen wendet. Wichtig ist, dass die Zahlung in Bitcoin erfolgen soll, einer Form der Kryptowährung.

Bevor dem Lösegeldforderungen nachgegeben wird, wird dem Opfer unter Einhaltung bestimmter Vorgaben die Möglichkeit eingeräumt, den Entschlüsselungsprozess an drei betroffenen Dateien zu testen. Gleichzeitig wird eine warnende Warnung ausgegeben, die das Opfer davon abrät, Änderungen an den gesperrten Dateien vorzunehmen, Entschlüsselungstools von Drittanbietern zu verwenden und Hilfe von externen Parteien in Anspruch zu nehmen. Dies unterstreicht die entscheidende Bedeutung der Einhaltung der angegebenen Anweisungen, um die Chancen einer erfolgreichen Dateiwiederherstellung innerhalb der von den Angreifern festgelegten Parameter zu optimieren.

Bedrohliche Fähigkeiten der Mango-Ransomware-Bedrohung

Mango, kategorisiert als Variante innerhalb der Phobos-Familie, gehört zu einer Gruppe hochentwickelter Malware-Bedrohungen. Die Merkmale der Malware der Phobos-Familie zeichnen sie dadurch aus, dass sie es strategisch vermeidet, infizierte Systeme außer Betrieb zu setzen und wichtige Dateien unverschlüsselt zu lassen, um die Systemfunktionalität aufrechtzuerhalten. Diese Ransomware-Variante ist in der Lage, sowohl lokale als auch über ein Netzwerk freigegebene Dateien zu verschlüsseln.

Um eine effektive Verschlüsselung zu gewährleisten, beendet die Phobos Ransomware Prozesse, die mit Dateien verbunden sind, die als „in Verwendung“ oder aktiv geöffnet gelten könnten, wie zum Beispiel solche in Textdatei-Readern oder Datenbankprogrammen. Damit sollen Ausnahmen aufgrund des aktiven Status der Dateien während der Verschlüsselung verhindert werden.

Während Phobos-Programme darauf abzielen, die Wahrscheinlichkeit einer doppelten Verschlüsselung zu verringern, indem Dateien, die von anderer Ransomware gesperrt wurden, verschont bleiben, weist dieser Ansatz inhärente Einschränkungen auf. Es basiert auf einer vorgegebenen Ransomware-Liste, die naturgemäß nicht alle möglichen Variationen und Kombinationen umfassen kann.

Um Datenwiederherstellungsbemühungen zu behindern, löscht die Malware die Schattenkopien des Volumens. Darüber hinaus verfügt Phobos über eine Geolokalisierungsfunktion, die es ermöglicht, Daten zu sammeln und anhand von Faktoren wie Wirtschaftskraft oder geopolitischen Erwägungen zu entscheiden, ob mit der Verschlüsselung fortgefahren werden soll.

Ransomware-Programme wie Phobos nutzen mehrere Techniken, um die Persistenz sicherzustellen. Dazu gehört das Kopieren in bestimmte Pfade und die Registrierung mit Run-Tasten für die Autostart-Funktionalität nach Systemneustarts.

Eine Entschlüsselung ohne Beteiligung der Angreifer ist selten möglich, außer in Fällen, in denen die Ransomware schwerwiegende Mängel aufweist. Trotz Erfüllung der Lösegeldforderungen erhalten Opfer häufig nicht die versprochenen Entschlüsselungswerkzeuge. Von der Zahlung des Lösegelds wird daher dringend abgeraten, da dies weder die Wiederherstellung der Daten garantiert noch die Unterstützung krimineller Aktivitäten verhindert.

Um weitere Verschlüsselungen zu verhindern, muss die Mango Ransomware unbedingt vom Betriebssystem entfernt werden. Es ist jedoch wichtig zu beachten, dass der Entfernungsprozess keine Dateien wiederherstellt, die bereits durch die Ransomware gefährdet sind. Dies verringert die Bedeutung vorbeugender Maßnahmen und umfassender Sicherheitspraktiken zur Minimierung der Auswirkungen solch hochentwickelter Malware-Bedrohungen.

Der gesamte Text der von der Mango-Ransomware generierten Lösegeldforderung lautet:

'All your files have been encrypted!

All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.

Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)

So erhalten Sie Bitcoins
Der einfachste Weg, Bitcoins zu kaufen, ist die Website LocalBitcoins. Sie müssen sich registrieren, auf „Bitcoins kaufen“ klicken und den Verkäufer nach Zahlungsmethode und Preis auswählen.
hxxps://localbitcoins.com/buy_bitcoins
Weitere Orte zum Kauf von Bitcoins und einen Leitfaden für Anfänger finden Sie hier:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/

Aufmerksamkeit!
Benennen Sie verschlüsselte Dateien nicht um.
Versuchen Sie nicht, Ihre Daten mit Software von Drittanbietern zu entschlüsseln, da dies zu einem dauerhaften Datenverlust führen kann.
„Die Entschlüsselung Ihrer Dateien mit Hilfe Dritter kann zu höheren Kosten führen (sie berechnen ihre Gebühr zu unseren) oder Sie können Opfer eines Betrugs werden.“

Die durch die Bedrohung erstellte Textdatei enthält die folgende Meldung:

'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'