Cyber Security LAB

Den .MOLE fil virus kan sprida sin smitta genom olika metoder. Just nu främst med distribution via spam e-post. Det har bekräftats av malware forskare. Sådan e-post som kommer att låtsas vara fråga om någon form av en leverans anmälan och i de flesta fall att paketet inte kunde levereras. Ett exempel med innehållet i en liknande e-post kan ses från skärmdumpen här nere:

Som du kan se ovan, en länk kommer att finnas i e-post om att du kan hitta ytterligare information om ärendet lagt ut inuti elektroniskt brev. Klicka på den länk som kommer att utlösa en omdirigering till en webbadress som porträtterar en falsk Microsoft Word-Dokument. Du kan se ett exempel på att dokumentet nedan:

Dokumentet säger att det är oläslig om du inte installerar en plug-in som kommer att ”låsa upp” den. Att trycka på Ladda ner och installera senaste version plugin-knappen kommer att ladda ner cryptovirus till din dator och starta den.

Hämta Removal Toolta bort MOLE

Den .MOLE fil virus är också möjligt att distribuera liknande meddelanden som innehåller dess nyttolast fil på sociala medier och fildelningstjänster. Avstå från att öppna filer direkt efter att du har laddat ner dem, speciellt om de kommer från skumma källor, såsom länkar eller e-postmeddelanden som visas ovan. Istället bör du skanna dem på förhand med säkerhet verktyg. Du bör läsa den ransomware förebyggande tips som skrivits i vårt forum avsnitt.

Den .MOLE fil virus är dubbad som på grund av det faktum att det krypterar filer samtidigt placera .MOLE förlängning till dem. Malware forskare hävdar att den ransomware är en variant av CryptoMix ransomware virus.

Efter att du har laddat ner den ransomware från den falska MS Word-dokument, ransomware kommer att visa ett felmeddelande:

Meddelandet anger:

Display Color Calibration can’t turn off Windows calibration management. Access is denied.

Sedan, när ”OK” – knappen är nedtryckt, UAC (User Account Control) kommer att lansera ber dig att ge tillstånd för utförande av följande kommando:

→”C:WindowsSysWOW64wbemWMIC.exe” processen samtal skapa ”%UserProfile%pluginoffice.exe”

Vilket ger att tillstånd kommer att re-lansera ransomware med Administrativa privilegier, och din dator kommer att skannas så att dina filer blir krypterad.

Följande processer kommer att stoppas:

• sc sluta wscsvc
• sc sluta WinDefend
• sc-stop wuauserv
• sc stoppbitar
• sc sluta ERSvc
• sc sluta WerSvc

Lösen notering kommer att visas efter att den här processen är klar. Anteckningen är skriven på engelska. Inuti kommer du se instruktioner med de krav som ställs för betalningen och hur du kan återställa dina filer. Den gisslan anteckning är inne i en fil som heter ”INSTRUCTION_FOR_HELPING_FILE_RECOVERY.txt”.

Som gisslan anteckning lyder följande:

All your important files were encrypted on this computer. You can verify this by click on see files an try open them. Encryption was produced using unique public key RSA-1024 generated for this computer. To decrypted files, you need to obtain private key. The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet. The server will destroy the key within 78 hours after encryption completed. To retrieve the private key, you need to Contact us by email , send us an email your DECRYPT-ID-0ec69ed5-3c99-40f8-8544-0c7653dcd3e5 number and wait for further instructions. For you to be sure, that we can decrypt your files – you can send us a single encrypted file and we will send you back it in a decrypted form. Please do not waste your time! You have 72 hours only! After that The Main Server will double your price! E-MAILS ADRESS: oceanm@engineer.com oceanm@india.com Hämta Removal Toolta bort MOLE

Lösen del av den .MOLE fil virus bör inte följas. Du bör INTE under några omständigheter betala eller kontakta cyberbrottslingar. Dina filer kan inte ens vara återställd, och ingen kan garantera dig det. Dessutom stöder brottslingar är inte en bra idé. Skurkar får bli motiverad att göra mer kriminella aktiviteter, som att skapa mer ransomware virus.

.MOLE fil virus har en intressant kryptering process. De krypteringsalgoritmer som används för processen är både RSA och AES. En unik hexadecimal-ID skapas för varje offer. Detta ID som kommer att skickas till C2 (Command and Control) – server som kommer att använda en RSA-1024 publik krypteringsnyckel. Dina filer kommer först att få krypterad med en AES - nyckel och sedan nyckeln som kommer att få ytterligare krypterad med RSA 1024 nyckel som skickas över C2 server.

Filen ”%UserProfile%AppDataRoaming26E14BA00B70A5D0AE4EBAD33D3416B0.MOLE” innehåller den publika RSA-nyckel.

Innehållet i filen är följande:

→–BEGIN OFFENTLIGA NYCKEL–
MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiqkbgqce5+kCm02LQPVKdMT8OyzAKsagRFk3KL4UXubb7ogyzinex7y3lqebwc/49jbnSaFZAm1ucIXK2CPrgC0g4FolRSH7iz5tjuc3cgjzyn4ucp8z44zvk3wwlox9suvarmvqxtkcm4nmr0jsr+3YbcB8ABMs
pUOBAHv+DlbcagmMbQIDAQAB
–END PUBLIC KEY–

Varje fil som blir krypterad kommer att få samma extension, som bifogas till var och en av dem, och det är det .MOLE förlängning. Till exempel Work.doc kommer se ut som SUD87S87S79DD8SF76SD7F8SD8F4F321.MOLE efter kryptering är gjort.

Den .MOLE fil virus cryptovirus kommer att ta bort Skuggan Volym Kopior från Windows operativsystem med utfärdande av följande tre kommandon:

→vssadmin.exe ta Bort Skuggor /Alla /Quiet

→bcdedit /set {default} recoveryenabled Nr

→bcdedit /set {default} bootstatuspolicy ignoreallfailures

Som också gör den här processen mer lönsamt, eftersom det eliminerar ett sätt för att dekryptera dina data. Läs igenom och se vilken typ av sätt som du kan prova för att eventuellt få tillbaka en del av dina filer.

Manual [postnamn] avlägsnande Guide

Steg 1. Avinstallera [postnamn] och relaterade program

Windows XP

1. Öppna Start-menyn och klicka på Kontrollpanelen
2. Välj Lägg till eller ta bort program
3. Välj det oönskade programmet
4. Klicka på ta bort

Windows 7 och Vista

1. Klicka på Start och välj Kontrollpanelen
2. Gå till avinstallera ett program
3. Högerklicka på den misstänkta programvaran
4. Välj avinstallera

Windows 8

1. Flytta markören till det nedre vänstra hörnet
2. Högerklicka och öppna Kontrollpanelen
3. Välj avinstallera ett program
4. Ta bort oönskade program

Steg 2. Ta bort [postnamn] från din webbläsare

Ta bort [postnamn] från Internet Explorer

1. Öppna IE och klicka på växel ikonen
   
2. Välj Hantera tillägg
   
3. Ta bort oönskade tillägg
4. Ändra din startsida: kugghjulet → Internet-alternativ (fliken Allmänt)
   
5. Återställa din webbläsare: kugghjulet → Internet-alternativ (fliken Avancerat)
6. Klicka på Återställ, markera rutan och klicka på Återställ igen
   

Ta bort [postnamn] från Mozilla Firefox

1. Öppna Mozilla och klicka på menyn
   
2. Välj tillägg och gå till anknytningar
3. Välj oönskade tillägg och klicka på ta bort
   
4. Återställ Mozilla: Alt + H → felsökningsinformation
   
5. Klicka på Återställ Firefox, bekräfta det och klicka på Slutför
   

Avinstallera [postnamn] från Google Chrome

Hämta Removal Toolta bort MOLE

1. Öppna Google Chrome och klicka på menyn
   
2. Välj verktyg → tillägg
3. Välj tillägget och klicka på papperskorgsikonen
   
4. Ändra din sökmotor: menyn → Inställningar
5. Klicka på Hantera sökmotorer under Sök
   
6. Ta bort oönskade sökleverantör
   
7. Återställa din webbläsare: inställningar → Återställ webbläsarens inställningar
   
8. Klicka på Återställ för att bekräfta din åtgärd