# Maoloa **[id-ransomware.blogspot.com/2019/02/maoloa-ransomware.html](https://id-ransomware.blogspot.com/2019/02/maoloa-ransomware.html)** ## Maoloa Ransomware Unnamed RDP-Reset Ransomware ### (шифровальщик-вымогатель) (первоисточник) Translation into English Этот крипто-вымогатель шифрует данные пользователей с помощью [SHACAL-2 (но в](https://ru.wikipedia.org/wiki/SHACAL) коде есть что-то от SHA-512 и SHA-224), а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. **Обнаружения:** **DrWeb -> Trojan.Encoder.11539, Trojan.Encoder.28101, Trojan.Encoder.30969** **ESET-NOD32 -> Win32/Filecoder.Maoloa.A, Win32/Filecoder.Maoloa.E** **Ikarus -> Trojan-Ransom.Maoloa** **BitDefender -> Trojan.Ransom.Maoloa.A** **Avira -> TR/Maoloa.*** Другие обнаружения, определенные как GlobeImposter, ошибочные и их можно не учитывать! **© Генеалогия: ✂** **[GlobeImposter > предыдущие варианты > Maoloa,](https://id-ransomware.blogspot.com/2016/12/fake-globe-ransomware.html)** **[Alco, другие](http://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** **Unnamed Ransomware** **Почему это не GlobeImposter?** Майкл Джиллеспи подтвердил, что это не GlobeImposter. Идентификатор жертвы и маркеры файлов вообще другие. Анализ текста показывает совпадение знаков и текста в некоторых вариантах GlobeImposter 2.0 прошлого года и одной версии декабря 2017 года. Таким образом, это фальшивый GlobeImposter и обнаружения на VT ошибочные. ----- Изображение — только логотип статьи К зашифрованным файлам добавляется расширение: .maoloa **Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в** обновлениях. Там могут быть различия с первоначальным вариантом. Образец этого крипто-вымогателя был найден в начале февраля 2019 г. Штамп времени: 3 февраля 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Нет никаких данных о массовом распространении. Вероятно, что это тестовый или единичный экземпляр. Записка с требованием выкупа называется: HOW BACK YOUR FILES.txt ----- **Содержание записки о выкупе:** ** All your files have been encrypted ** *** PLEASE READ THIS *** **** IF YOU WANT TO GET ALL YOUR FILES BACK **** _______________________________________________________________ATTENTION | * Do not rename encrypted files. | * Do not try to decrypt your data using third party software, this can | result in complete data loss. |_______________________________________________________________ Send us email with your personal id. This email will be as confirmation you are ready to pay for decryption key. After payment, we send you the decryption tool, that decrypt all your files. Before paying you can send 2 file for free decryption. The total size of file must be less than 1Mb (non archived), and files should not contain valuable information (backups, databases, large excel-word sheets, etc.) CONTACT US: ormazd_ahura@aol.com, maoloa@india.com, maoloa@yahoo.com ------------------------------------- KEY ------------------------------------{{ID}} ------------------------------------------------------------------------------ **Перевод записки на русский язык:** ** Все ваши файлы были зашифрованы ** *** ПОЖАЛУЙСТА ПРОЧТИТЕ ЭТО *** **** ЕСЛИ ВЫ ХОТИТЕ ВЕРНУТЬ ВСЕ ФАЙЛЫ **** --ВНИМАНИЕ - Не переименовывайте зашифрованные файлы. - Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может привести к полной потере данных. --Отправьте нам письмо с вашим личным id. Это письмо будет подтверждением того, что вы готовы заплатить за ключ расшифровки. После оплаты мы отправим вам инструмент дешифрования, который расшифрует все ваши файлы. Перед оплатой вы можете отправить 2 файла для бесплатной расшифровки. Общий размер файла должен быть менее 1 МБ (не в архиве), и файлы не должны содержать ценной информации (резервные копии, базы данных, большие таблицы Excel и т. д.) СВЯЗЬ С НАМИ: ormazd_ahura@aol.com, maoloa@india.com, maoloa@yahoo.com ------------------------------------- KEY ------------------------------------{{ID}} ------------------------------------------------------------------------------ ----- **Технические детали** Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на [вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html) Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html) Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3**2-1.** ➤ Удаляет теневые копии файлов с помощью команды: vssadmin.exe Delete Shadows / All / Quiet ➤ Очищает журналы Windows. ➤ Сбрасывает настройки RDP на дефолтные (меняет атрибуты файла Default.rdp). ➤ Отключает работу баз данных, сервисных служб, отключает оповещения об их остановке при загрузке системы: MongoDB, SQLWriter, MSSQLServerOLAPService, MSSQLSERVER, MSSQL$SQLEXPRESS, ReportServer, OracleServiceORCL, OracleDBConsoleorcl, OracleMTSRecoveryService, OracleVssWriterORCL, MySQL **Список файловых расширений, подвергающихся шифрованию:** .1ch, .acl, .acrodata, .adr, .aod, .bak, .bdic, .bin, .blog, .conf, .contact, .crl, .css, .customUI, .dat, .db, .db-journal, .dic, .doc, .docm, .docx, .dot, .dotm, .emf, .eot, .etl, .feed-ms, .fey, .fingerprint, .gif, .htm, .icc, .idx, .ini, .jpg, .jrs, .js, .json, .jsonlz4, .ldb, .lib, .library-ms, .little, .lnk, .log, .lst, .lz4, .lz4, .mozlz4, .mp3, .obi, .oeaccount, .old, .one, .onecache, .onetoc2, .pb, .pma, .png, .pset, .pst, .rdy, .rtf, .sbstore, .searchconnector-ms, .search-ms, .sig, .sqlite, .sqlite3, .srs, .store, .ttf, .txt, .url, .vkf, .vpol, .vrt, .wfe, .win, .wmdb, .wmv, .woff, .wpl, .wtv, .xml Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы без расширений и многие другие типы файлов. **Файлы, связанные с этим Ransomware:** HOW BACK YOUR FILES.txt .exe - случайное название ----- **Расположения:** \Desktop\ -> \User_folders\ -> \%TEMP%\ -> **Записи реестра, связанные с этим Ransomware:** См. ниже результаты анализов. **Сетевые подключения и связи:** Email: ormazd_ahura@aol.com, maoloa@india.com, maoloa@yahoo.com BTC: *** См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. **Результаты анализов:** Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/235b4f62c63d69e0a2454dcf8d9de2c572d845f2cfccee5de09f26dfe695c9b5/5c6058637ca3e17cff333e94)** 𝚺 **[VirusTotal analysis >>](https://www.virustotal.com/ru/file/235b4f62c63d69e0a2454dcf8d9de2c572d845f2cfccee5de09f26dfe695c9b5/analysis/)** 🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/e5116791-8328-4c8d-ab28-ca2205609b36)** ⴵ VMRay analysis >> Ⓥ VirusBay samples >> � MalShare samples >> ᕒ **[ANY.RUN analysis >>](https://app.any.run/tasks/713da46b-5df6-4d89-b833-0b6445ada798)** 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно. === ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY === **=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===** **Обновление от 6 ноября 2018 и даже раньше (в сентябре 2018):** [Пост в Твиттере >>](https://twitter.com/vmray/status/1060232398976311300) Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .Ox4444 Этимология названия расширения: ox - по-английски: вол, бык. [Результаты анализов: VT +](https://www.virustotal.com/ru/file/43e67197f48076d3c2f72de7d44d474dda0e6260a913e41fd6d4e9d1509f31c7/analysis/) **[VMRay](https://www.vmray.com/analyses/43e67197f480/report/files.html)** ----- **Обновление от 28 февраля 2019:** Расширение: .brydreed Email: informerdecrypted@aol.com, brydreed@india.com Записка: HOW TO BACK YOUR FILES.TXT ➤ Содержание записки: ** All your files have been encrypted ** *** PLEASE READ THIS *** **** IF YOU WANT TO GET ALL YOUR FILES BACK **** _______________________________________________________________ ATTENTION - Do not rename encrypted files. - Do not try to decrypt your data using third party software, this can result in complete data loss. _______________________________________________________________ Send us email with your personal encryption KEY. This email will be as confirmation your are ready to pay for decryption key. After payment, we send you the decryption tool, that decrypt all your files. Before paying you can send 2 file for free decryption. The total size of file must be less than 1Mb (non archived), and files should not contain valuable information (backups, databases, large excel-word sheets, etc.) CONTACT US: informerdecrypted@aol.com, brydreed@india.com ------------------------------------- KEY ------------------------------------N5ET35KOBD6T7*****ORP7KA2A= ------------------------------------------------------------------------------ **Обновление от 1 марта 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** [Пост в Твиттере >>](https://twitter.com/GrujaRS/status/1101517929974300672) Расширение: .Alco4444 Этимология названия расширения: алько - южноамериканская дикая собака. Записка: HOW TO BACK YOUR FILES.txt ----- Email: Ñhina.helper@aol.com, Ñhina.helper@india.com Вероятно, правильные адреса: China.Helper@aol.com, China.Helper@india.com Результаты анализов: **[VT](https://www.virustotal.com/#/file/d11567b0e2fd350e14259cb662486a0f4bf6af2a006180285f2ad889d0c3bf65/detection)** ➤ Содержание записки: YOUR FILES ARE ENCRYPTED !!! TO DECRYPT, FOLLOW THE INSTRUCTIONS: To recover data you need decrypt tool. To get the decrypt tool you should: 1.In the letter include your personal ID! Send me this ID in your first email to me! 2.We can give you free test for decrypt few files (NOT VALUE) and assign the price for decryption all files! 3.After we send you instruction how to pay for decrypt tool and after payment you will receive a decryption tool! 4.We can decrypt few files in quality the evidence that we have the decoder. DO NOT TRY TO DO SOMETHING WITH YOUR FILES BY YOURSELF YOU WILL BRAKE YOUR DATA !!! ONLY WE ARE CAN HELP YOU! CONTACT US: Ñhina.helper@aol.com Ñhina.helper@india.com ATTENTION !!! THIS IS YOUR PERSONAL ID WICH YOU HAVE TO SEND IN FIRST LETTER: S/oR50rtft/2yT81cpZXZEdzhmaktbMclM2w]uksSsP3DV*** **Обновление от 20 марта 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .Mr-X666 [Результаты анализов: VT](https://www.virustotal.com/gui/file/6157d40a5c31ecb72b0a65fe2326ed404e1b269382257ee1fb33f07786a9f272/detection) ----- **Обновление от 10 апреля 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .Tiger4444 Этимология названия расширения: tiger - по-английски: тигр. Записка: how_to_back_files.html или HOW TO BACK YOUR FILES.txt **Обновление от 11 апреля 2019:** [Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/694916/tabufa/) Расширение: .tabufa Email: tabufa@protonmail.com, tabufa@airmail.cc Файл EXE: meaykdxuvtfy.exe или типа того. Записка: how_to_back_files.html или другой файл. ➤ Содержание записки: All your data has been ciphered! The only way of recovering your files is to buy a unique decryptor. A decryptor is fully automatical, all your data will be recovered within a few hours after it’s installation. For purchasing a decryptor contact us by email: tabufa@protonmail.com If you will get no answer within 24 hours contact us by our alternate emails: tabufa@airmail.cc ----- We assure full recovery after the payment. To verify the possibility of the recovery of your files we can decipher 1 file for free. Attach 1 file to the letter (no more than 5Mb). Indicate your personal ID on the letter: 38 8A 79 68 5D D3 8E *** . In reply we will send you an deciphered file and an instruction for purchasing an automatical decryptor for all your files. After the payment we will send you a decryptor and an instructions for protecting your computer from network vulnerabilities.. Attention! Only tabufa@protonmail.com, tabufa@airmail.cc can decipher all your files. Launching of antivirus programs will not help. Changing ciphered files will result in a loose of data. Attempts of deciphering by yourself will result in a loose of data. Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data. **Обновление от 17 апреля 2019:** Расширение: .systems32x Записка: HOW TO BACK YOUR FILES.TXT Email: systems32x@gmail.com systems32x@yahoo.com systems32x@tutanota.com help32xme@usa.com additional.mail@mail.com **Обновление от 27 апреля 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** ----- Расширение: .Pig4444 Этимология названия расширения: pig - по-английски: свинья, поросенок. Записка: HOW TO BACK YOUR FILES.txt [Результаты анализов: VT +](https://www.virustotal.com/gui/file/394791371e7b993b6501ef4ed16202b3e424ff72fbb763e6d6fa0291f25fdb57/detection) [VMR](https://www.vmray.com/analyses/394791371e7b/report/overview.html) **Обновление от 3-5 мая 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .Tiger4444 Этимология названия расширения: tiger - по-английски: тигр. Записка: HOW TO BACK YOUR FILES.txt [Результаты анализов: VT +](https://www.virustotal.com/gui/file/25a61cce6d3b712384eb09182ec875659d12107b897863220623c4899023a451/detection) **[VMR](https://www.vmray.com/analyses/25a61cce6d3b/report/overview.html)** **Обновление от 18 мая 2019:** [Пост в Твиттере >>](https://twitter.com/demonslay335/status/1129617360292372480) Расширение: .[epta.mcold@gmail.com] Записка: !INSTRUCTI0NS!.TXT Email: epta.mcold@gmail.com, epta.mcold@yahoo.com, epta.mcold@aol.com ➤ Содержание записки: ** All your files have been encrypted ** *** PLEASE READ THIS *** ----- IF YOU WANT TO GET ALL YOUR FILES BACK _________________________________________________________________________ | ATTENTION | * Do not rename encrypted files. | * Do not try to decrypt your data using third party software, this can | result in complete data loss. |________________________________________________________________________ Send us email with your personal encryption KEY. This email will be as confirmation your are ready to pay for decryption key. After payment, we send you the decryption tool, that decrypt all your files. Before paying you can send 2 file for free decryption. The total size of file must be less than 1Mb (non archived), and files should not contain valuable information (backups, databases, large excel-word sheets, etc.) CONTACT US: epta.mcold@gmail.com epta.mcold@yahoo.com ADDITIONAL CONTACTS: epta.mcold@aol.com ------------------------------------- KEY ------------------------------------EFLNUW6RCNGXJOBXRNJ4JETCGDCJ6ZN76WWLKAG5YHLT27A*** ------------------------------------------------------------------------------Email: middleman2020@protonmail.com, middleman2020@tutanota.com **Обновление от 18 июня 2019:** [Пост в Твиттере >>](https://twitter.com/petrovic082/status/1141088158345551874) Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .pig4444 Этимология названия расширения: pig - по-английски: свинья, поросенок. Записка: HOW TO BACK YOUR FILES.TXT ----- **Обновление от 21 июня 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .Horse4444 Этимология названия расширения: horse - по-английски: лошадь, конь. Записка: HOW_TO_BACK_FILES.txt **Обновление от 1 июля 2019:** [Пост в Твиттере >>](https://twitter.com/petrovic082/status/1146074942313783297) **Это не относится напрямую к Maoloa Ransomware!** Email: Decryptcn@protonmail.ch URL: xxxx://47.92.55.239/s/ Записки: HOW_TO_BACK_YOUR_FILES.txt на китайском и английском языках HOW_TO_BACK_YOUR_FILES.txt - на английском языке Текст записки взят из Maoloa или Alco, которые сам имитируют записку GlobeImposter, но имеют свои особенности. ----- Идентификация в IDR: сначала "Fake GlobeImposter", потом "ChineseRarypt" по моему названию в статье **[ChineseRarypt Ransomware.](https://id-ransomware.blogspot.com/2019/07/chineserarypt-ransomware.html)** Помещает файлы в Rar-архив вместо шифрования. Пароль может находиться в той же директории, в Rar-файле. [Статья от Tencent по этому фальшивому GlobeImposter >>](https://bbs.kafan.cn/thread-2153436-1-1.html) **Обновление от 10 июля 2019:** [Топик на форуме >>](https://support.emsisoft.com/topic/31466-assistance-needed-with-ransomware/) Расширение: .shelbyboom Email: shelbyboom@protonmail.com, shelbyboom@cock.li Записка: how_to_back_files.html **Обновление от 17 июля 2019:** [Топик на форуме >>](https://support.emsisoft.com/topic/31500-diller13/) Расширение: .diller13 Записка: how_to_back_files.html Email: diller13@protonmail.com, diller13@cock.li ----- ➤ Содержание записки: All your data has been ciphered! The only way of recovering your files is to buy a unique decryptor. A decryptor is fully automatical, all your data will be recovered within a few hours after it’s installation. For purchasing a decryptor contact us by email: diller13@protonmail.com If you will get no answer within 24 hours contact us by our alternate emails: diller13@cock.li We assure full recovery after the payment. To verify the possibility of the recovery of your files we can decipher 1 file for free. Attach 1 file to the letter (no more than 25Mb). Indicate your personal ID on the letter: 20 44 81 30 49 01 D0 83 *** (768 заков с пробелами). In reply we will send you an deciphered file and an instruction for purchasing an automatical decryptor for all your files. After the payment we will send you a decryptor and an instructions for protecting your computer from network vulnerabilities.. Attention! Only diller13@protonmail.com, diller13@cock.li can decipher all your files. Launching of antivirus programs will not help. Changing ciphered files will result in a loose of data. Attempts of deciphering by yourself will result in a loose of data. Decryptors of other users are unique and will not fit your files and use of those will result in a loose of data. **Обновление от 22 июля 2019:** Этот вариант подробно описан в статье **[Alco Ransomware >>>](https://id-ransomware.blogspot.com/2019/03/alco-ransomware.html)** Расширение: .Rabbit4444 Записка: не найдена. **Обновление от 25 августа 2019:** Новая идентификация: [статья Maola Ransomware >>](https://id-ransomware.blogspot.com/2019/02/maoloa-ransomware.html) Расширение: .decrypt019 ----- Записка: how_to_back_files.html Email: decrypt019@protonmail.com, decrypt2019@outlook.com --- пропущенные варианты -- **=== 2020 ===** **Обновление от 22 января 2020:** Расширение: .system32x Email: systems32@gmail.com, systems32x@yahoo.com Специальный файл ids.txt содержит ID, написанный 9 раз. Записка в EXE-формате: !!INSTRUCTIONS!!.exe EXE-файлы: msopsm.exe, system32x.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/a91bcee7f68a95fb85371b9ca32cbc8332d154d2f3180fdde9de2554e9cd1739/detection) **[VT +](https://www.virustotal.com/gui/file/8bae546576fc926c4030f7f5c285842c3d00300ad8c0eac0c7b5dd93c2893bd2/detection)** **[VT](https://www.virustotal.com/gui/file/a662fecb5d0f5767e304fb5fc76050380ff076dd423b4df946e1baf888ab48be/detection)** ----- **=== 2021 ===** **Вариант от 20 января 2021:** [Топик на форуме >>](https://www.bleepingcomputer.com/forums/t/741347/) Расширение: .Encrypted Email: opticodbestbad@aol.com, opticodbestbad@mail.ee Записка: info.html [Результаты анализов: VT +](https://www.virustotal.com/gui/file/98e9d8b6c7432f168af28106b8868b989f14727d2295ff1bd8f7052ceb8e98c7/detection) **[TG](https://tria.ge/210122-d4vhnc3qv6/behavioral1)** **Вариант от 10 апреля 2021:** [Сообщение >>](https://twitter.com/fbgwls245/status/1380857023563108354) Расширение: .charlie.j0hnson Записка: HOW TO RETURN YOU FILES.exe [Результаты анализов: VT +](https://www.virustotal.com/gui/file/d7f19de8eb2461c635c0170448a58a1ec6e6de014b4410883f87d0b5d7868e65/detection) **[IA +](https://analyze.intezer.com/analyses/192529fc-35d8-4b44-bfb9-6c765bfcb6b2)** **[TG](https://tria.ge/210410-pjqlvlb4w2/behavioral1)** ----- **=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===** ``` Read to links: + myTweet ID Ransomware (ID as Maoloa) Write-up, Topic of Support * Thanks: S!Ri, Michael Gillespie Andrew Ivanov (author), Thyrex Petrovic * ``` © Amigo-A (Andrew Ivanov): All blog articles. -----