NM4 ransomware - Hvordan fjernes det?

NM4 ransomware virus er en veldesignet malwareinfektion, der fokuserer på at kryptere brugernes filer med en kompliceret kombination af algoritmer. NM4 virussen tilhører gruppen af ransomwareprogrammer, der både benytter AES- og RSA-kryptering for at vanskeliggøre dekrypteringsprocessen af de elektroniske data. Dette specifikke stykke malware arbejder sammen med to websider, som kun kan åbnes med TOR-browseren. Det er endnu et træk, der tilknyttes mange andre infektioner, som viser deres betalingsinstruktioner i html-filer, der leder hen til online domæner. Recovers_your_files.html bliver placeret på brugerens skrivebord. Hvis man starter denne fil, vil den automatisk åbne en webside i din foretrukne browser (Internet Explorer eller et andet program). Beskeden vil dog befale brugeren til at indtaste de to førnævnte TOR-websteder.

NM4 ransomware: de primære funktioner

Inden NM4 krypto-virussen kan fuldføre krypteringen med de to krypteringsmetoder, er den først nødt til at få kontrol over systemet. Og det får den ved, at nyttelasten hemmeligt bliver installeret i operativsystemet. Efterfølgende vil den skadelige eksekverbare fil sigte efter at indsætte poster i Windows registreringsdatabasenøglerne. Denne ændring vil automatisk starte NM4 virussen, når brugeren tænder sin computer. Man har mulighed for at opdage tilstedeværelsen af en ransomware-infektion i Windows’ Jobliste, men det kan være kompliceret, eftersom skadelige eksekverbare filer kan vise sig som legitime processer.


NM4 ransomware virus

Hvis malwareprogrammet har slået rødder i operativsystemet, vil der opstå uregelmæssigheder, såsom langsomt kørende applikationer. Windows’ Jobliste kan angive en høj procent af de brugte CPU-ressourcer. Når NM4 virussen har klaret det, den skal, vil den formentlig kontakte sin C&C-server for at udveksle informationer. Dernæst vil krypteringen, der understøttes af AES-256 og RSA-2048 krypteringerne, have en perfekt mulighed for at gå i gang. Malwareprogrammet vil umiddelbart vælge mellem forskellige filer, der vil indgå i de krypterede data. De ødelagte eksekverbare filer vil omfatte en original udvidelse, kaldet .NM4, som denne ransomware-infektion er blevet opkaldt efter.


NM4 virus

Udviklerne er ikke nye i fremstillingen af ransomware. Deres første eksemplar hed R ransomware, og de forlanger begge penge for dekrypteringsnøglen. Mens R-infektionen krævede 2 BTC, er prisen steget med hackernes nye variant. NM4 ransomware giver brugerne besked på at betale 3 BTC, som er ca. 3870,90 dollars. Det er en meget pebret pris, og du skal endelig ikke sende penge til den pågældende bitcoin-wallet. Du vil kun støtte hackerne økonomisk og give dem yderligere mulighed for at frembringe andre ransomwarevirusser.

NM4 ransomware og muligheder for dekryptering

NM4 virus kan i øjeblikket ikke dekrypteres. Men det er muligt, at sikkerhedseksperterne vil udvikle et gratis dekrypteringsværktøj. Indtil da skal du ikke betale løsesummen. Du skal hellere fjerne dette malware og kigge på andre mulige løsninger, hvorpå du kan gendanne dine data. Du kan simpelthen køre en sikkerhedsscanning med et anti-malwareprogram, såsom Spyhunter, Malwarebytes og Hitman, og det vil vise dig hvilke skadelige programmer, der skal fjernes. Først efter at du har fjernet den skadelige nyttelast, kan du forsøge at gendanne filerne. Prøv at tjekke, om Shadow Volume kopierne er blevet ødelagt. Endvidere er der også en chance for, at almindelige filgendannelsesværktøjer kan gendanne en del af de filer, som har fået udvidelsen .NM4.

Hvad kan være årsagen til NM4 ransomware?

NM4 virussen bliver nok spredt ved hjælp af spam-post. Hvis du modtager en e-mail fra tilsyneladende lovlige faciliteter, som opfordrer dig til at følge et link eller downloade en vedhæftning, skal du tjekke pågældende e-mail for mistænkelige oplysninger. Hvis e-mailadressen, som beskeden er sendt fra, ser mærkelig ud, skal du ikke gøre, hvad den anmoder dig om. Det samme gør sig gældende, hvis e-mailen indeholder en masse grammatiske fejl eller inviterer dig til at deltage i aktiviteter, som du ikke har tilmeldt dig. Endvidere skal du surfe sikkert på nettet og undgå at besøge domæner, der engagerer sig i mistænkelige tjenester.

1. Hvordan fjernes NM4 ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt


I Windows 7 / Vista / XP
  • Start → Sluk → Genstart OK
  • Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
  • Vælg Fejlsikret tilstand med kommandoprompt. Windows 7 enter safe mode

I Windows 8 / 10
  • Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.Windows 8-10 restart to safe mode
  • Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
  • Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.Windows 8-10 enter safe mode

Gendan systemfiler og indstillinger.

  • Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
  • Tast derefter rstrui.exe og tast Enter igen. CMD commands
  • Klik ”næste” i vinduet, er der kommet frem. Restore point img1
  • Vælg et af gendannelsespunkterne, der er tilgængelige fra før, NM4 virus trængte ind i dit system, og klik derpå ”Næste”. Restore point img2
  • For at starte Systemgendannelse klik ”Ja”.Restore point img3

2. Fuldfør fjernelsen af NM4 ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med NM4 virus.


3. Gendan filer, der er påvirket af NM4 ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. NM4 virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Previous version

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Shadow explorer

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.

Kilde: https://www.2-viruses.com/remove-nm4-ransomware

Removal guides in other languages

Skriv et svar

Din e-mailadresse vil ikke blive publiceret. Krævede felter er markeret med *