Cyber Security LAB

L’ .MOLE file di virus in grado di distribuire la sua infezione attraverso diversi metodi. Attualmente, il principale metodo di distribuzione è via e-mail di spam. Che è stato confermato da ricercatori di malware. Tale e-mail di fingere di essere per quanto riguarda alcune specie di notifica di spedizione, e nella maggior parte dei casi, un pacchetto che non è riuscito a essere consegnato. Un esempio con il contenuto di un analogo indirizzo di posta elettronica può essere vista dallo screenshot qui in basso:

Come si può vedere sopra, un link presente nella e-mail, affermando che si possono trovare ulteriori informazioni riguardo il caso in cui all’interno della lettera elettronica. Facendo clic sul collegamento attiverà un redirect ad un indirizzo Web raffigurante un falso Documento di Microsoft Word. Si può vedere un esempio di tale documento che di seguito:

Il documento afferma che è illeggibile a meno che non si installa un plug-in che si “sblocca”. Premendo sul pulsante di Download e installare la versione più recente del plugin pulsante scarica il cryptovirus al vostro sistema di computer e lanciarlo.

Scarica lo strumento di rimozionerimuovere MOLE

L’ .MOLE virus di file è anche possibile distribuire messaggi simili che contiene il payload file sui social media e servizi di file-sharing. Astenersi dall’apertura del file dopo il download, soprattutto se provengono da fonti sospette, ad esempio collegamenti o e-mail come mostrato sopra. Invece, si dovrebbe eseguire la scansione di loro, in anticipo, con uno strumento di sicurezza. Si dovrebbe leggere il ransomware la prevenzione suggerimenti scritti nella nostra sezione del forum.

L’ .MOLE file virus è definito come che a causa del fatto che esso consente di crittografare i file durante l’inserimento della .MOLE estensione. Malware ricercatori sostengono che il ransomware è una variante del CryptoMix virus ransomware.

Dopo aver scaricato il ransomware dal falso documento di MS Word, il ransomware visualizza un messaggio di errore:

Il messaggio recita:

Display Color Calibration can’t turn off Windows calibration management. Access is denied.

Poi, quando il pulsante “OK” viene premuto, l’UAC (User Account Control), lancerà chiedendo di dare il permesso per l’esecuzione del seguente comando:

→”C:WindowsSysWOW64wbemWMIC.exe” il processo di chiamata di creare “%UserProfile%pluginoffice.exe”

Dando autorizzazione di rilanciare il ransomware con privilegi Amministrativi, e il computer verrà effettuata la scansione del tuo file vengono crittografati.

I seguenti processi verranno arrestati:

• sc stop wscsvc
• sc stop i windefend
• sc stop wuauserv
• sc stop BIT
• sc stop ERSvc
• sc stop WerSvc

La nota di riscatto verrà visualizzato dopo il processo di crittografia è finito. La nota è scritta in inglese. All’interno è possibile vedere le istruzioni con le richieste di pagamento e come si potrebbe recuperare i vostri file. La nota di riscatto è all’interno di un file chiamato “INSTRUCTION_FOR_HELPING_FILE_RECOVERY.txt”.

Che nota di riscatto legge la seguente:

Scarica lo strumento di rimozionerimuovere MOLE All your important files were encrypted on this computer. You can verify this by click on see files an try open them. Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypted files, you need to obtain private key. The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet. The server will destroy the key within 78 hours after encryption completed. To retrieve the private key, you need to Contact us by email , send us an email your DECRYPT-ID-0ec69ed5-3c99-40f8-8544-0c7653dcd3e5 number and wait for further instructions. For you to be sure, that we can decrypt your files – you can send us a single encrypted file and we will send you back it in a decrypted form. Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! E-MAILS ADRESS: oceanm@engineer.com oceanm@india.com

La nota di riscatto dell’ .MOLE virus di file non deve essere seguito. Si dovrebbe NON in qualsiasi circostanza pagare o contattare i criminali informatici. I file possono anche non essere restaurato, e nessuno può garantire che. Inoltre, a sostegno di criminali non è una buona idea. I criminali possono ottenere motivati a fare di più attività criminali, come la creazione di più ransomware virus.

.MOLE file virus ha un interessante processo di crittografia. Gli algoritmi di crittografia che sono utilizzati per il processo sono entrambi RSA e AES. Un unico ID esadecimale viene creato per ogni vittima. Che ID essere inviati a un C2 (Comando e Controllo) del server che utilizzano una RSA-1024 chiave di crittografia pubblica. I file prima di ottenere criptata con una AES chiave e la chiave sarà ottenere ulteriori cifrata con la RSA-1024 chiave inviati in C2 server.

Il file “%UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE” contiene la chiave pubblica RSA.

Il contenuto di tale file sono i seguenti:

→–INIZIO–CHIAVE PUBBLICA
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiqkbgqce5+kCm02LQPVKdMT8OyzAKsagRFk3KL4UXubb7ogyzinex7y3lqebwc/49jbnSaFZAm1ucIXK2CPrgC0g4FolRSH7iz5tjuc3cgjzyn4ucp8z44zvk3wwlox9suvarmvqxtkcm4nmr0jsr+3YbcB8ABMs
pUOBAHv+DlbcagmMbQIDAQAB
–END–CHIAVE PUBBLICA

Ogni file che viene crittografato riceveranno la stessa estensione aggiunto a ciascuno di loro, e che è l’ .MOLE estensione. Per esempio Work.doc sarà simile a SUD87S87S79DD8SF76SD7F8SD8F4F321.MOLE dopo la crittografia è fatto.

L’ .MOLE virus file cryptovirus di cancellare l’ Ombra del Volume di Copie dal Windows sistema operativo con il rilascio delle seguenti tre comandi:

Scarica lo strumento di rimozionerimuovere MOLE

→vssadmin.exe Eliminare le Ombre /Tutti /e Tranquilla

→bcdedit /set {default} recoveryenabled No

→bcdedit /set {default} bootstatuspolicy ignoreallfailures

Che, inoltre, rende il processo di crittografia più praticabile in quanto elimina uno dei modi per decifrare i dati. Leggere attraverso e vedere che tipo di modi si potrebbe provare potenzialmente recuperare alcuni file.

Guida alla rimozione manuale MOLE

Passo 1. Disinstallare MOLE e relativi programmi

Windows XP

1. Aprire il menu Start e fare clic su pannello di controllo
2. Scegliere Aggiungi o Rimuovi programmi
3. Selezionare l’applicazione indesiderata
4. Fare clic su Rimuovi

Windows 7 e Vista

1. Fare clic su Start e selezionare Pannello di controllo
2. Vai a disinstallare un programma
3. Tasto destro del mouse sul software sospettoso
4. Selezionare Disinstalla

Windows 8

1. Spostare il cursore nell’angolo sinistro inferiore
2. Tasto destro del mouse e aprire il pannello di controllo
3. Selezionare Disinstalla un programma
4. Cancellare le applicazioni indesiderate

Passo 2. Rimuovere MOLE dal tuo browser

Rimuovere MOLE da Internet Explorer

1. Aprire IE e cliccare sull’icona ingranaggio
   
2. Selezionare Gestisci componenti aggiuntivi
   
3. Rimuovere estensioni indesiderate
4. Cambiare la tua home page: icona ingranaggio → opzioni Internet (scheda generale)
   
5. Ripristinare il vostro browser: icona ingranaggio → opzioni Internet (scheda Avanzate)
6. Fare clic su Reimposta, spunta la casella e fare nuovamente clic su Reset
   

Eliminare MOLE da Mozilla Firefox

1. Aprire Mozilla e scegliere dal menu
   
2. Scegliere Componenti aggiuntivi e andare alle estensioni
3. Selezionare il componente aggiuntivo non desiderato e fare clic su Rimuovi
   
4. Reset Mozilla: Alt + H → informazioni di risoluzione dei problemi
   
5. Fare clic su Reset Firefox, confermare e fare clic su fine
   

Disinstallare MOLE da Google Chrome

1. Aprire Google Chrome e fare clic sul menu
   
2. Selezionare strumenti → estensioni
3. Scegliere il componente aggiuntivo e fare clic sull’icona di Trash can
   
4. Cambiare il motore di ricerca: Menu → impostazioni
5. Fare clic su Gestisci motori di ricerca in ricerca
   
6. Eliminare il provider di ricerca indesiderati
   
7. Ripristinare il vostro browser: impostazioni → Reset Impostazioni browser
   
8. Fare clic su Reimposta per confermare la vostra azione