Ransomware NMCRYPT

Znany również jako: NMCRYPT (wirus)
Dystrybucja: Niska
Poziom zniszczenia: Silny

Instrukcje usuwania ransomware NMCRYPT

Czym jest NMCRYPT?

NMCRYPT to wirus typu ransomware wysokiego ryzyka, podobny do NM4. Po infiltracji NMCRYPT szyfruje większość zapisanych danych przy użyciu algorytmów szyfrowania AES-256 i RSA-2048. Ponadto malware dołącza do nazwy zaszyfrowanych plików rozszerzenie ".NMCRYPT". Na przykład nazwa "przykład.jpg" jest zmieniana na "przykład.jpg.NMCRYPT". Zaszyfrowane pliki stają się bezużyteczne. Po zakończeniu procesu szyfrowania NMCRYPT generuje plik HTML ("Recover your files.html") i umieszcza jego kopię w każdym istniejącym folderze.

Nowy plik HTML zawiera długą wiadomość tekstową informującą ofiary o szyfrowaniu i instruującą je, co zrobić dalej - aby odszyfrować dane, użytkownicy muszą odwiedzić witrynę NMCRYPT i postępować zgodnie z instrukcjami. Jak wspomniano powyżej, NMCRYPT używa do szyfrowania danych algorytmów AES i RSA. Dlatego do odzyskania danych niezbędne są dwa unikalne klucze (generowane indywidualnie dla każdej ofiary). Klucze te są przechowywane na zdalnym serwerze kontrolowanym przez cyberprzestępców, a użytkownicy są zachęcani do zapłacenia okupu w zamian za ich wydanie. Koszt wynosi 6705,02 $ i musi zostać zapłacony w kryptowalucie Bitcoin. W porównaniu do innych wirusów typu ransomware, wysokość tego okupu jest bardzo wysoka - okup zazwyczaj waha się od 500 $ do 1500 $. Użytkownicy mają również prawo do wysłania cyberprzestępcom trzech wybranych plików (w formatach DOC/XLS/XML/JPG, łącznie do 2 MB). Są one następnie przywracane i zwracane ofierze jako "gwarancja", że odszyfrowanie jest możliwe. W rzeczywistości cyberprzestępcom nigdy nie można ufać. Badania pokazują, że użytkownicy są często ignorowani po dokonaniu płatności. Płacenie nie daje żadnych pozytywnych rezultatów, a użytkownicy są oszukiwani. Dlatego radzimy zignorować wszystkie prośby o zapłacenie okupu. Niestety, nie ma żadnych narzędzi zdolnych do złamania algorytmów AES/RSA i odzyskania plików za darmo. Dlatego jedynym rozwiązaniem jest przywrócenie wszystkiego z kopii zapasowej.

Zrzut ekranu z wiadomością zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

NMCRYPT decrypt instructions

NMCRYPT jest praktycznie identyczny z Tron, Iron, Vurten, ScorpionLocker i dziesiątkami innych wirusów typu ransomware. Wszystkie są zaprojektowane przez różnych cyberprzestępców, jednak ich zachowanie jest identyczne - wszystkie szyfrują dane i żądają okupu. W większości przypadków wirusy typu ransomware mają tylko dwie zasadnicze różnice: 1) wysokość okupu; 2) rodzaj zastosowanego algorytmu szyfrowania. Niestety większość z tych wirusów wykorzystuje algorytmy generujące unikalne klucze deszyfrowania. Dlatego, chyba że ransomware nie jest w pełni rozwinięte lub ma pewne błędy/wady (na przykład klucz jest przechowywany lokalnie, na stałe lub podobnie), ręczne odszyfrowanie plików bez udziału programistów (skontaktowanie się z nimi nie jest zalecane) jest niemożliwe. Malware, takie jak NMCRYPT, jest jednym z głównych powodów, dla których powinieneś regularnie tworzyć kopie zapasowe danych, ale przechowywać je na zdalnym serwerze (np. w chmurze) lub na odłączonym urządzeniu pamięci masowej. Jeśli nie, kopie zapasowe również zostaną szyfrowane.

Jak ransomware zainfekowało mój komputer?

Ransomware jest powszechnie dystrybuowane za pośrednictwem trojanów, fałszywych aktualizacji oprogramowania, wiadomości Spam i źródeł pobierania oprogramowania stron trzecich. Trojany działają w prosty sposób – najczęściej otwierają tylne drzwi dla innych złośliwych programów, które infiltrują system. Fałszywe programy aktualizujące infekują komputer, wykorzystując błędy/wady nieaktualnego oprogramowania lub pobierając i instalując malware zamiast aktualizacji oprogramowania. Wiadomości Spam często zawierają złośliwe załączniki (np. dokumenty MS Office, pliki JavaScript) przeznaczone do uruchamiania skryptów, które potajemnie pobierają i instalują malware. Nieoficjalne źródła pobierania oprogramowania (sieci peer-to-peer [P2P], bezpłatne witryny z hostingiem plików, witryny z freeware do pobrania itp.) przedstawiają złośliwe pliki wykonywalne jako legalne oprogramowanie. Dlatego wielu użytkowników jest skłonnych do pobierania i instalowania malware.

Jak ochronić się przez infekcjami ransomware?

Aby zapobiec infiltracji systemu przez ransomware, zachowaj ostrożność podczas przeglądania Internetu. Zastanów się dwa razy przed otwarciem załączników do wiadomości e-mail. Jeśli plik został wysłany przez podejrzany adres e-mail i wydaje się nieistotny, nie otwieraj go i natychmiast usuń wiadomość. Zalecamy pobieranie aplikacji z oficjalnych źródeł i wyłącznie za pomocą bezpośrednich linków do pobierania, a nie narzędzi pobierania/instalacji stron trzecich. Te narzędzia często dołączają złośliwe aplikacje i dlatego nigdy nie powinny być używane. Aktualizuj zainstalowane aplikacje i korzystaj z renomowanego pakietu antywirusowego/antyspyware. Aktualizuj aplikacje za pomocą wbudowanych funkcji lub narzędzi dostarczanych przez oficjalnego programistę - jak wspomniano wcześniej, przestępcy dystrybuują malware za pomocą fałszywych aktualizacji. Głównymi przyczynami infekcji komputerowych są słaba wiedza i nieostrożne zachowanie. Kluczem do bezpieczeństwa jest ostrożność.

Tekst prezentowany w pliku HTML ransomware NMCRYPT ("Recover your files.html"):

Zaszyfrowane pliki!

Wszystkie twoje pliki są zaszyfrowane z wykorzystaniem szyfrowania AES256-bitowego i RSA-2048-bitowego.
Nie można odzyskać plików bez poprawnego klucza prywatnego.
Jeśli jesteś zainteresowany zdobyciem klucza i odzyskaniem swoich plików, powinieneś wykonać następujące kroki.
Jedynym sposobem bezpiecznego odszyfrowania plików jest zakup oprogramowania deszyfrującego i klucza prywatnego.
Wszelkie próby odzyskania plików za pomocą oprogramowania innej firmy będą śmiertelne dla twoich plików!
Ważne: użyj przeglądarki Firefox lub Chrome
Aby kontynuować zakup, musisz uzyskać dostęp do jednego z poniższych linków:
https://lylh3uqyzay3lhrd.onion.to/
https://lylh3uqyzay3lhrd.onion.link/
 
Jeśli żaden z linków nie jest online przez dłuższy czas, istnieje inny sposób, aby go otworzyć. Powinieneś wtedy zainstalować przeglądarkę Tor
Jeśli twoja osobista strona nie jest dostępna przez dłuższy czas, istnieje inny sposób na jej otwarcie - instalacja i korzystanie z przeglądarki Tor:
uruchom swoją przeglądarkę internetową (jeśli nie wiesz, co to jest, uruchom Internet Explorer);
wpisz lub skopiuj adres https://www.torproject.org/download/download-easy.html.en na pasku adresu przeglądarki i naciśnij ENTER;
poczekaj na załadowanie strony;
na stronie pojawi się propozycja pobrania przeglądarki Tor; pobierz i uruchom ją, postępuj zgodnie z instrukcjami instalacji, poczekaj na zakończenie instalacji;
uruchom przeglądarkę Tor;
połącz się za pomocą przycisku "Connect" (jeśli używasz wersji angielskiej);
po inicjalizacji otwarte zostanie normalne okno przeglądarki internetowej;
wpisz lub skopiuj adres
https://lylh3uqyzay3lhrd.onion
 
w tym pasku adresu przeglądarki naciśnij ENTER;
strona powinna być załadowana; jeśli z jakiegoś powodu strona się nie ładuje, poczekaj chwilę i spróbuj ponownie.
Jeśli masz jakiekolwiek problemy podczas instalacji lub korzystania z przeglądarki Tor, odwiedź https://www.youtube.com i wpisz w pasku wyszukiwania "Zainstaluj przeglądarkę Tor dla Windows", a znajdziesz wiele filmów szkoleniowych na temat przeglądarki Tor, jej instalacji i użytkowania.
Twój klucz: -

Zrzut ekranu strony internetowej NMCRYPT:

NMCRYPT website

Tekst prezentowany na tej stronie:

Strona domowa
Twoje pliki zostały zaszyfrowane z powodu luk w zabezpieczeniach twoich systemów. Aby to się nie powtórzyło, musisz zwiększyć bezpieczeństwo danego środowiska, zatrudniając firmę specjalizującą się w bezpieczeństwie. Nie tylko wirus stał się bezpieczną maszyną. Wymagane są również kopie zapasowe, aby twoje dane nie zostały utracone. Szukam bezpieczeństwa ich systemów.
Wyślę ci klucz prywatny, abyś mógł odzyskać swoje pliki natychmiast po przekazaniu darowizny. W razie potrzeby pomogę ci w tej procedurze. Nie dbam o twoje pliki bez darowizny. Jeśli twoje pliki są dla ciebie ważne, dokonam oceny. W przeciwnym razie nie będziesz mógł ich odzyskać.
Podam klucz prywatny, abyś mógł odzyskać swoje pliki.
Dodatkowo, musisz przekazać darowiznę w wysokości 6705,02 $ w Bitcoinach, przeliczając przy obecnym kursie, musisz zapłacić 1,0000 Bitcoina.
Możesz sprawdzić cenę Bitcoina na poniższej stronie:
hxxp://preev.com/
Tylko darowizna zostanie zaakceptowana przez BITCOIN. Jeśli nie masz pojęcia, jak kupić Bitcoin w Internecie, możesz uzyskać pomoc w menu FAQ. Kliknij tutaj
Jako gwarancja wyślij do trzech zaszyfrowanych plików w formacie DOC, XLS, XML lub JPG.
Maksymalny rozmiar to 2mb. Aby to ułatwić, skompresuj pliki za pomocą WinRAR lub Zip.
Powinieneś przesłać pliki na dowolną wybraną stronę do przesyłania. Jednak jeśli nie znasz żadnej, możesz skorzystać z poniższej strony:
hxxp://wikisend.com/
Wybierz plik i kliknij "Prześlij plik" dla przesłanego pliku.
Skopiuj "Link do pobrania" i poinformuj o linku pobierania w polu pomocy obok niego.

Zrzut ekranu plików zaszyfrowanych przez NMCRYPT (rozszerzenie ".NMCRYPT"):

Files encrypted by NMCRYPT

Usuwanie ransomware NMCRYPT:

Natychmiastowe automatyczne usunięcie NMCRYPT (wirus): Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się NMCRYPT (wirus). Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij na "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem NMCRYPT. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware NMCRYPT).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki NMCRYPT.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty NMCRYPT są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij na niego prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez NMCRYPT możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i EasySync CryptoMonitor, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak NMCRYPT.

Zauważ, że aktualizacja Windows 10 Fall Creators Update obejmuje funkcję "Controlled Folder Access”, która blokuje próby zaszyfrowania twoich plików przez ransomware. Domyślnie ta funkcja automatycznie chroni pliki przechowywane w Dokumentach, Obrazach, Wideo, Muzyka, Ulubione oraz folderach na pulpicie.

Controll Folder Access

Użytkownicy systemu Windows 10 powinni zainstalować tę aktualizację, aby chronić swoje dane przed atakami ransomware. Tutaj jest więcej informacji o tym, jak uzyskać tę aktualizację i dodać dodatkową warstwę ochrony przed infekcjami ransomware.

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta wykorzystuje zaawansowaną proaktywną technologię monitorującą aktywność ransomware i natychmiast ją zatrzymuje – zanim dostanie się ona do plików użytkowników:

malwarebytes anti-ransomware

  • Najlepszym sposobem uniknięcia infekcji ransomware jest regularne tworzenie kopii zapasowych. Więcej informacji na temat tworzenia kopii zapasowych online i oprogramowania do odzyskiwania danych Tutaj.

Inne narzędzia znane z usuwania ransomware NMCRYPT:

Źródło: https://www.pcrisk.com/removal-guides/12636-nmcrypt-ransomware