Mango ransomware
Mango Ransomware ha sido identificado como un programa amenazante por expertos en ciberseguridad. Este software insidioso emplea una estrategia de cifrar archivos en el dispositivo comprometido y posteriormente exigir un pago por su descifrado. Una vez iniciado en el sistema de destino, Mango Ransomware comienza el proceso de cifrado, modificando los nombres de archivo originales de los archivos en cuestión.
A estos nombres de archivos, Mango añade un ID distintivo asignado a la víctima, la dirección de correo electrónico del ciberdelincuente responsable y una extensión '.mango'. Como ejemplo ilustrativo, un archivo originalmente etiquetado como '1.doc' se transforma en '1.doc.id[9ECFA74E-3316].[duckjahana@onionmail.com].mango.'
Al finalizar el proceso de cifrado, el malware genera dos notas de rescate. Una de estas notas aparece como una ventana emergente titulada "info.hta", mientras que la otra es un archivo de texto llamado "info.txt". Estos archivos se depositan en el escritorio y se distribuyen en todos los directorios donde se ha producido el cifrado. Cabe destacar que Mango Ransomware pertenece a la familia Phobos Ransomware , lo que refleja una categorización más amplia dentro del panorama del software inseguro.
La nota de rescate dejada a las víctimas del ransomware Mango
El contenido del archivo de texto comunica que los archivos que se han vuelto inaccesibles han sido cifrados, enfatizando la necesidad de que la víctima establezca contacto con los atacantes para facilitar el proceso de descifrado.
Ampliando la información, el mensaje emergente profundiza en los detalles de la infección de ransomware. Aclara que recuperar los archivos cifrados requiere el pago de un rescate. El monto de este rescate supuestamente depende de la rapidez con la que la víctima llegue a los ciberdelincuentes. Es importante destacar que se especifica que el pago se realizará en Bitcoin, una forma de criptomoneda.
Antes de aceptar las demandas de rescate, la víctima tiene la oportunidad de probar el proceso de descifrado en tres archivos afectados, sujeto a ciertas especificaciones. Simultáneamente, se emite una advertencia de precaución, advirtiendo a la víctima contra cualquier modificación de los archivos bloqueados, el uso de herramientas de descifrado de terceros y la búsqueda de ayuda de terceros. Esto subraya la naturaleza crítica de seguir las instrucciones especificadas para optimizar las posibilidades de recuperación exitosa de archivos dentro de los parámetros establecidos por los atacantes.
Capacidades amenazantes de la amenaza Mango Ransomware
Mango, categorizado como una variante dentro de la familia Phobos, pertenece a un grupo de amenazas de malware sofisticadas. Las características del malware de la familia Phobos lo diferencian al evitar estratégicamente que los sistemas infectados dejen de funcionar, dejando archivos cruciales sin cifrar para mantener la funcionalidad del sistema. Esta variante de ransomware es capaz de cifrar tanto archivos locales como aquellos compartidos en una red.
Para garantizar un cifrado eficaz, Phobos Ransomware finaliza los procesos asociados con archivos que podrían considerarse "en uso" o abiertos activamente, como los de lectores de archivos de texto o programas de bases de datos. La intención es evitar exenciones basadas en el estado activo de los archivos durante el cifrado.
Si bien los programas Phobos tienen como objetivo reducir la probabilidad de doble cifrado al preservar los archivos bloqueados por otro ransomware, este enfoque tiene limitaciones inherentes. Se basa en una lista predeterminada de ransomware que, por su naturaleza, no puede abarcar todas las posibles variaciones y combinaciones.
Para impedir los esfuerzos de recuperación de datos, el malware elimina las instantáneas de volumen. Además, Phobos incluye una función de geolocalización, que le permite recopilar datos y determinar si se debe proceder con el cifrado en función de factores como la fortaleza económica o consideraciones geopolíticas.
Los programas de ransomware como Phobos emplean múltiples técnicas para garantizar la persistencia. Esto incluye copiarse a sí mismos en rutas específicas y registrarse con teclas Ejecutar para la funcionalidad de inicio automático después de reiniciar el sistema.
El descifrado sin la participación de los atacantes rara vez es factible, excepto en los casos en que el ransomware presenta fallas graves. A pesar de cumplir con las demandas de rescate, las víctimas a menudo no reciben las herramientas de descifrado prometidas. Por lo tanto, se desaconseja encarecidamente pagar el rescate, ya que no garantiza la recuperación de datos ni evita el apoyo a actividades delictivas.
Para frustrar más cifrados, es imperativo eliminar Mango Ransomware del sistema operativo. Sin embargo, es fundamental tener en cuenta que el proceso de eliminación no restaura los archivos que ya están comprometidos por el ransomware. Esto disminuye la importancia de las medidas preventivas y las prácticas de seguridad integrales para minimizar el impacto de amenazas de malware tan sofisticadas.
El texto completo de la nota de rescate generada por Mango Ransomware es:
'All your files have been encrypted!
All your files have been encrypted due to a security problem with your PC. If you want to restore them, write us to the e-mail: duckjahana@onionmail.com
Write this ID in the title of your message -
Or text in the messenger Telegram: @santasupp
You have to pay for decryption in Bitcoins. The price depends on how fast you write to us. After payment we will send you the tool that will decrypt all your files.Free decryption as guarantee
Before paying you can send us up to 3 files for free decryption. The total size of files must be less than 4Mb (non archived), and files should not contain valuable information. (databases,backups, large excel sheets, etc.)Cómo obtener Bitcoins
La forma más sencilla de comprar bitcoins es el sitio LocalBitcoins. Tienes que registrarte, hacer clic en 'Comprar bitcoins' y seleccionar el vendedor por método de pago y precio.
hxxps://localbitcoins.com/buy_bitcoins
También puedes encontrar otros lugares para comprar Bitcoins y una guía para principiantes aquí:
hxxp://www.coindesk.com/information/how-can-i-buy-bitcoins/¡Atención!
No cambie el nombre de los archivos cifrados.
No intente descifrar sus datos utilizando software de terceros, ya que puede provocar una pérdida permanente de datos.
El descifrado de sus archivos con la ayuda de terceros puede provocar un aumento del precio (ellos añaden su tarifa a la nuestra) o puede convertirse en víctima de una estafa.'
El archivo de texto creado por la amenaza contiene el siguiente mensaje:
'!!!All of your files are encrypted!!!
To decrypt them send e-mail to this address: duckjahana@onionmail.com
Our online operator is available in the messenger Telegram: @santasupp'
