NMCRYPT to krypto-ransomware domagające się zapłaty prawie 7000 dolarów w Bitcoinach

NMCRYPT to niebezpieczny wirus krypto-ransomware obecnie rozpowszechniany przez niezabezpieczoną usługę pulpitu zdalnego, złośliwe załączniki emailowe oraz fałszywe aktualizacje. Jego twórcy wykorzystują szyfry AES-256 i RSA-2048 do przejmowania plików ofiary. NMCRYPT jest znany z atakowania filmów, muzyki, zdjęć, dokumentów, baz danych oraz prezentacji. Zaszyfrowane pliko otrzymują rozszerzenie .NMCRYPT, które jest powodem, dla którego wirus jest też znany jako wirus rozszerzenia .NMCRYPT. Po udanym ataku, ofierze przedstawiane jest żądanie okupu zwane Recover your files.html domagające się 6,705.02 dolarów okupu w Bitcoinach.
| NMCRYPT | |
|---|---|
| Klasyfikacja | Ransomware |
| Poziom zagrożenia | Wysoki. Blokuje pliki osobiste i blokuje ustawienia systemowe. Darmowy dekrypter nie jest dostępny. |
| Objawy | Utrata dostępu do plików osobistych. Rozszerzenie zmienione na .NMCRYPT. Każdy folder zawiera plik Recover your files.html |
| Rozmiar okupu | $6705.02 w Bitcoinach |
| Zastosowane szyfry | AES-256 and RSA-2048 |
| Możesz automatycznie usunąć NMCRYPT. Pobierz FortectIntego i uruchom pełny skan systemu | |
NMCRYPT to drugi wirus ransomware po Vurtenie domagający się dużego okupu w zamian za dekryptera. Zazwyczaj, rozmiar okupu znajduje się pomiędzy 200 i 500 dolarów i nie przekracza 2000 dolarów. Wygląda więc na to, że mamy do czynienia z prawdziwym wyłudzaczem.
Ransomware NMCRYPT został zobaczony w środku kwietnia 2018. Rozpoznany jest on jako Generic.Ransom.XRatLocker.5E892A47, Ransom.Haknata.S1240226, Ransom_AIRACROP.SM bądź Trojan.Win32.Deshacop.enxprt przez zaufane antywirusy. Wygląda na to, że wirus atakuje głównie anglojęzycznych użytkowników.
Badacze ransomware zdołali już przeanalizować infekcję oraz znegować jego pochodzenie. Gdy jedni mówią, że wirus jest pochodną ransomware'a NMoreira, inni mówią, że to kolejne krypto-malware bazujące na otwartym kodzie HiddenTear. Faktem jest, że wirus NMCRYPT szyfruje pliki w sposób nie możliwy do rozszyfrowania bez zapłaty okupu.
Po instalacji, wirus otwiera Wiersz Poleceń z uprawnieniami administracyjnymi i uruchamia skrypt usuwający ukryte kopie plików, które są domyślnie tworzone przez system Windows. Poza ty dezaktywuje on wszystkie poprzednie wersje systemu stworzone poprzez funkcję Windows Recovery. W taki sposób hakerzy minimalizują szansę na odblokowanie plików zaszyfrowanych przez NMCRYPT oraz maksymalizują przychód.
Pliki osobiste są blokowane z pomocą kluczy AES-256 i RSA-2048, które pozwalają hakerom na zastosowanie silnego szyfrowania. Wspomniana kombinacja dwóch warstw szyfrowania czyni pliki praktycznie nierozszyfrowywalnymi ręcznie. Dlatego hakerzy pytają się o przelanie 6705.02 $ w Bitcoinach poprzez przeglądarkę Tor i skorzystanie z portfelu Bitcoin, by uzyskać unikalny identyfikator potrzebny do rozszyfrowania.
By potwierdzić swoją wiarygodność, cyberprzestępcy proponują ofierze wybranie kilku zaszyfrowanych plików DOC, XLS, XML lub JPG, których rozmiar nie przekracza 2MB oraz wysłanie ich poprzez kanał http://wikisend.com/.
Ofiara może znaleźć informacje na ten temat w pliku Recover your files.html, pojawiającym się domyślnie na każdym folderze pulpitu. Zawiera on instrukcje, jak pobrać przeglądarkę Tor oraz kilka linków prowadzących do stron zakupu Bitcoinów:
Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files
You should proceed with the following steps.
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
Important use Firefox or Chrome browser
To proceed with the purchase you must access one of the link below
https://lylh3uqyzay3lhrd.onion.to/
https://lylh3uqyzay3lhrd.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page – installation and use of Tor Browser, etc.
Jeśli twój komputer został zaatakowany przez tego wirusa, nie płać przesadzonego okupu – nie ma w końcu gwarancji, że hakerzy pozostawią Cię bez klucza. Najlepszym sposobem na poradzenie sobie z ransomwarem jest jego eliminacja, a następnie odzyskanie danych z pomocą odpowiednich aplikacji. Dlatego namawiamy do odzyskania danych z pomocą FortectIntego, SpyHunterCombo Cleaner lub MalwarebytesMalwarebytes.
Nie przejmuj się, jeśli usunięcie NMCRYPT jest zablokowane przez komponenty ransomware'a. By obejść blokadę, powinieneś uruchomić system w Trybie Awaryjnym, a tam uruchomić antywirusa. Poradniki do tego znajdziesz na dole artykułu.

Hakerzy korzystają z wielu metod dystrybucji do rozpowszechniania ransomware
Wirusy ransomware to najgroźniejsze cyberzagrożenia 2018 roku. Zajmują tą pozycję już od dekady i nie wygląda na to, żeby sytuacja miała się zmienić w niedalekiej przyszłości. Wzrastająca liczba ataków może zostać wyjaśniona mnogością sposobów dystrybucji ransomware'ów, wykorzystywanych przez hakerów. Obecnie zaś głównymi metodami dystrybucji, wskazanymi przez semvirus.pt są:
- Załączniki w spamie. Formaty DOC, DOCX, PDF, PNG i JPG. Zazwyczaj udają one wiadomości ze znanych instytucji i przedsiębiorstw takich, jak Urząd Skarbowy, Amazon, eBay itd. i mówią o takich tematach, jak obligacje, długi, faktury czy paczki.
- Zestawy exploitów. Hakerzy korzystają ze specjalnego oprogramowania, by atakować podatności systemu. Dana luka służy następnie za furtkę dla ransomware'a. Exploity mogą podróżować wraz z aktualizacjami takiego oprogramowania, jak Adobe czy Flash.
- Niezabezpieczone usługi Zdalnego Pulpitu. Oszuści często dają radę ujawnić hasła RDP sieci, a przez to mogą dostać się do komputera z pomocą uprawnień sysadmina..
- Fałszywe aktualizacje oprogramowania. Oszuści mogą stworzyć fałszywą aktualizację przeglądarki, Windowsa Javy, Flash Playera, a nawet czcionek, i wyświetlają ja na shakowanej stronie. Jeśli niczego nie spodziewający się użytkownik kliknie na przycisk Download, uruchomi on ransomware.
Choć jest wiele innych sposobów rozpowszechniania się ransomware'ów, te cztery są najczęściej używane. Zachowaj więc ostrożność korzystając z sieci i upewnij się, że masz aktywowanego antywirusa.
Instrukcja usuwania wirusa ransomware NMCRYPT
Nie próbuj usuwać NMCRYPT samemu, gdyż to niemożliwe. Malware ten uruchamia wiele komend i skryptów, by zmienić ustawienia systemu i zagnieździć się w nim głęboko, by uniknąć eliminacji. Poza tym, instaluje on paczkę powiązanych plików i uruchamia kolejne złośliwe procesy.
Jedynym sposobem na usunięcie NMCRYPT jest pobranie profesjonalnego programu anty-malware bądź aktualizacja tego już działającego w systemie. Następnie pozwól skanerowi tego programu wykonać swoje zadanie. Jeśli komponenty wirusa blokują narzędzie, skorzystaj z poniższego poradnika:
Czy ten poradnik był pomocny?
Skomentuj jako pierwszy