MOLE Ransomware

O MOLE Ransomware é um Trojan Ransomware que foi associado a uma recente campanha de spam. O MOLE Ransomware pertence à família de ransomware do CryptMix. O MOLE Ransomware pode ser entregue à vítima em mensagens de e-mail que pretendem ser notificações de envio de encomendas, alegando que um determinado pacote não pode ser entregue e incluindo um link para "informações adicionais". O link permite que o MOLE Ransomware seja instalado no computador da vítima. Quando a vítima é convidada a instalar um plug-in do Microsoft Word Online, é o MOLE Ransomware que ela instala.

Como o MOLE Ransomware pode ser Instalado no Computador da Vítima

Enquanto o MOLE Ransomware estiver sendo instalado, o seu instalador exibirá um falso alerta projetado para enganar a vítima e faze-la ignorar um prompt de Controle da Conta de Usuário. A mensagem exibida diz o seguinte:

'Display Color Calibration can't turn off Windows calibration management.
Access is denied'

Que, em português é:

'A calibração da cor exibida na tela não pode desligar o gerenciamento de calibração do Windows.
O acesso foi negado'

Quando o usuário do computador pressiona o botão OK nessa mensagem, o MOLE Ransomware é executado, pois ele exibirá um prompt de Controle da Conta do Usuário que permite que o seu arquivo executável seja executado. Isso dá privilégios administrativos ao MOLE Ransomware, permitindo que ele criptografe os arquivos da vítima. O MOLE Ransomware usa uma combinação da criptografia AES e RSA para criptografar os dados da vítima e tornar esses arquivos completamente inacessíveis. Antes de realizar o seu ataque, o MOLE Ransomware tentará parar os processos de segurança no computador infectado, emitindo os seguintes comandos:

• sc stop wscsvc
• sc stop WinDefend
• sc stop wuauserv
• sc stop BITS
• sc stop ERSvc
• sc stop WerSv

O MOLE Ransomware irá então parar a recuperação do Windows e excluir as cópias do Shadow Volume, evitando que os usuários do computador recuperem os seus arquivos usando métodos alternativos. Uma vez feito isso, o MOLE Ransomware executará o seu ataque principal, escaneando o computador da vítima e criptografando os arquivos da vítima. O MOLE Ransomware criptografa os arquivos da vítima e renomeia-os com um nome contendo 32 hexadecimal caracteres e a extensão de arquivo '.MOLE'.

Como o MOLE Ransomware pode Extrair um Resgate da Vitima

O MOLE Ransomware cria arquivos de texto em cada pasta onde existe conteúdo criptografado. Esses arquivos são chamados 'INSTRUCTION_FOR_HELPING_FILE_RECOVERY.TXT'(Instruçōes para ajudar na recuperação de arquivos) e contêm o seguinte texto:

'All your important files were encrypted on this computer.
You can verify this by click on see files an try open them.
Encryption was produced using unique public key RSA-1024 generated for this computer.
To decrypted files, you need to obtain private key.
The single copy of the private key, with will allow you to decrypt the files, is locate on a secret server on the internet.
The server will destroy the key within 78 hours after encryption completed.
To retrieve the private key, you need to Contact us by email , send us an email your DECRYPT-ID-11111111-1111-1111-1111-111111111111 number
and wait for further instructions.
For you to be sure, that we can decrypt your files - you can send us a single encrypted file and we will send you back it in a decrypted form.
Please do not waste your time! You have 72 hours only! After that The Main Server will double your price!'

Cuja tradução é:

'Todos os seus arquivos importantes foram criptografados neste computador.
Você pode verificar isso clicando em ver arquivos e tentando abri-los.
A criptografia foi produzida usando uma chave pública única RSA-1024, gerada para este computador.
Para os arquivos serem descodificados, você precisa obter uma chave privada.
A única cópia da chave privada, que permite que você descodifique os arquivos, está localizada em um servidor secreto na internet.
O servidor irá destruir a chave dentro de 78 horas após a conclusão da encriptação.
Para recuperar a chave privada, você precisa nos contatar por e-mail, envie-nos um e-mail o seu número DECRYPT-ID-11111111-1111-1111-1111-111111111111
e aguarde mais instruções.
Para você ter certeza de que podemos decifrar os seus arquivos - você pode nos enviar um único arquivo criptografado e nós o enviaremos de volta de forma descodificada.
Por favor, não perca ao seu tempo! Você tem 72 horas apenas! Depois disso, o Servidor Principal duplicará o seu preço!'

Infelizmente, os arquivos afetados pelo MOLE Ransomware não são recuperáveis, o que significa que as vítimas terão de recuperar os seus arquivos de cópias de backup. As mensagens de e-mail spam usadas para entregar o MOLE Ransomware podem ser reconhecidas facilmente, pois se parecem com táticas on-line comuns. O que se segue são amostras de linhas de assunto usadas nas mensagens de spam que foram associadas à infecção pelo MOLE Ransomware:

• Problema com a entrega, pacote USPS #07681136
• Problema com a entrega, pacote USPS #766268001
• Problema com a entrega, pacote USPS #886315525
• Novo estatus do código de entrega do seu USPS: 74206300
• Novo estatus do código de entrega do seu USPS: 573677337
• Novo estatus do código de entrega do seu USPS: 615510620
• O entregador da USPS não conseguiu encontrar o seu pacote # 754277860
• Por favor, confira o seu endereço para a entrega do pacote USPS 67537460
• Por favor, confira o seu endereço para a entrega do pacote USPS 045078181
• Estatus da sua entrega USPS ID: 45841802
• Nós estamos tendo problemas com o seu pacote # 30028433
• Nós estamos tendo problemas com o seu pacote # 48853542
• Nós estamos tendo problemas com o seu pacote # 460730503

SpyHunter detecta e remove MOLE Ransomware