Infektionen processen .MULLVAD virus är mycket speciella, men också gemensamma. Den ransomware infektion använder flera olika bedrägliga e-post mallar som gör att det liknar en legitim service, som USPS Marken post, till exempel. Meddelanden kan lura offer till att klicka på en misstänkt URL:
Efter det att offret i fråga klickar på URL: en, kan han eller hon är hänvisad till en phishing-Office365 webbplats som utger sig för att öppna ett Microsoft Word-dokument online. Men resultatet av detta är att Word-dokumentet verkar korrupt och visar ett meddelande om Detta dokument kan inte läsa i din webbläsare”. Och phishing webbplats vill få användaren att ladda ner dokumentet för att öppna det på hans/hennes dator.
Vad användaren faktiskt nedladdningar är dock en pipett eller annan typ av mellanhand skadlig kod, som orsakar infektionen med .MOLE Ransomware virus. När viruset har aktiverats, omedelbart ansluter via ett osäkert-porten till en distribution webbplats. Från det, skadliga filer .MOLE Ransomware hämtas på offrets dator. De finns i följande kataloger:
- %AppData%
- %Lokala%
- %LocalLow%
- %Roaming%
- %SystemDrive%
- %Windows%
Efter skadliga filer laddas ner, virus börjar den är skadlig aktivitet.
Aktiviteten av .MOLE Ransomware virus består av flera skadliga åtgärder. Det första steget är att visa ett falskt meddelande när användaren öppnar den falska Microsoft Word-dokument, som han tror är från USPS eller annan service. Den falska felmeddelande i form av en Windows Fel pop-up som har följande meddelande:
Pop-up-rutan inte har någon annan knapp, med undantag för ”OK” och efter det är tryckt, malware injicerar en uppmaning att starta en Windows kommando med förhöjda privilegier (som administratör).
→ ”C:WindowsSysWOW64wbemWMIC.exe” processen samtal skapa ”%UserProfile%pluginoffice.exe”
Efter tis kommandot har inletts .MULLVAD fil virus börjar med att stoppa processen relaterade till kritiskt Windows försvar funktioner som Försvarare och SmartScreen. De processer som har gått till är följande:
Efter processer är avslutade, viruset kan börja kryptering förfarande.
Krypteringen av den .MOLE Ransomware bedrivs via två primära krypteringsalgoritmer – RSA och AES-chiffer. Denna kombination resulterar i två typer av nycklar som skapas – en asymmetrisk nyckel AES (chiffer) och sedan den offentliga och privata RSA-nycklar till krypterade filer. Svårighet att avkoda dessa filer är att unika nycklar genereras för varje offer. Dessa nycklar är då sparad i %Roaming% katalog under ett slumpmässigt namn och .MULLVAD förlängning efter som den privata skickas till servrar i cyber-kriminella som ligger bakom .MOLE Ransomware.
De filtyper som .MOLE Ransomware är per-programmerad att jaga och kryptera om upptäcker dem är följande:
Efter den här processen är klar .MOLE Ransomware kan visa tidigare sjunkit gisslan anteckning, som kallas ”INSTRUCTION_FOR_HELPING_FILE_RECOVERY.txt” och har följande innehåll:
Manual [postnamn] avlägsnande Guide
Hämta Removal Toolta bort MOLE RansomwareSteg 1. Avinstallera [postnamn] och relaterade program
Windows XP
- Öppna Start-menyn och klicka på Kontrollpanelen
- Välj Lägg till eller ta bort program
- Välj det oönskade programmet
- Klicka på ta bort
Windows 7 och Vista
- Klicka på Start och välj Kontrollpanelen
- Gå till avinstallera ett program
- Högerklicka på den misstänkta programvaran
- Välj avinstallera
Windows 8
- Flytta markören till det nedre vänstra hörnet
- Högerklicka och öppna Kontrollpanelen
- Välj avinstallera ett program
- Ta bort oönskade program
Steg 2. Ta bort [postnamn] från din webbläsare
Ta bort [postnamn] från Internet Explorer
- Öppna IE och klicka på växel ikonen
- Välj Hantera tillägg
- Ta bort oönskade tillägg
- Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
- Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
- Klicka på Återställ, markera rutan och klicka på Återställ igen
Ta bort [postnamn] från Mozilla Firefox
- Öppna Mozilla och klicka på menyn
- Välj tillägg och gå till anknytningar
- Välj oönskade tillägg och klicka på ta bort
- Återställ Mozilla: Alt + H → felsökningsinformation
- Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
Avinstallera [postnamn] från Google Chrome
- Öppna Google Chrome och klicka på menyn
- Välj verktyg → tillägg
- Välj tillägget och klicka på papperskorgsikonen
- Ändra din sökmotor: menyn → Inställningar
- Klicka på Hantera sökmotorer under Sök
- Ta bort oönskade sökleverantör
- Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
- Klicka på Återställ för att bekräfta din åtgärd