Ransomware NM4 - Como remover

O vírus ransomware NM4 é uma infeção de malware bem projetada que está focada em codificar os ficheiros dos utilizadores com uma combinação complicada de algoritmos. O vírus NM4 pertence à família de variantes ransomware que emprega tanto a encriptação AES como RSA para complicar o processo de desencriptação de informação eletrónica. Esta amostra de malware em específico funciona juntamente com outros dois websites que podem ser abertos pelo navegador TOR. Esta é outra características que pode estar relacionada com muitas outras infeções que apresentam as suas instruções para o pagamento em ficheiros html, levando a domínios online. O executável Recovers_your_files.html é colocado no ambiente de trabalho da vítima. Se este ficheiro for aberto, ele irá automaticamente abrir um website no seu navegador preferido (Internet Explorer ou qualquer outro programa). Contudo, a nota apresentada irá instruir as pessoas a entrar nos dois sites suportados pelo TOR.

Ransomware NM4: principais características discutidas

Antes do cripto-vírus NM4 poder completar a encriptação com as duas cifras para encriptação, tem de ganhar persistência num dispositivo. De forma a fazer isto, a carga útil tem de ser secretamente instalada num sistema operativo. A partir desse ponto, o executável malicioso irá visar introduzir entradas nas Chaves de Registo Windows. Esta alteração irá automaticamente abrir o vírus NM4 após os utilizadores ligarem os seus dispositivos. É possível reparar na presença de uma infeção ransomware no Gestor de Tarefas do Windows, mas esta pesquisa é complicada devido ao facto dos executáveis maliciosos poderem fazer-se passar por processos legítimos.

Contudo, se malware se enraizou num sistema operativo, ele irá sofrer de irregularidades como execução lenta de aplicações. O Gestor de Tarefas do Windows pode indicar uma elevada percentagem de utilização de recursos do CPU. Uma vez que o vírus NM4 obtenha a posição requerida, ele irá presumivelmente contactar o seu servidor C&C para trocar informação. Depois, a encriptação, suportada pelas cifras AES-256 e RSA-2048, irá ter a hipótese perfeita de ter lugar. O malware irá presumivelmente escolher diferentes ficheiros que se tornarão parte da informação codificada. Os executáveis arruinados irão caracterizar-se por uma extensão original, chamada .NM4 que é a razão do título desta infeção ransomware.

Os autores não são novatos no negócio do ransomware. A sua primeira amostra chamava-se R ransomware e ambos exigem que se faça uma doação em troca da chave de desencriptação. Enquanto a infeção R requeria 2 BTC, os piratas informáticos subiram o seu preço com a nova variante. O ransomware NM4 instrui as pessoas a pagar 3 BTC que é aproximadamente 3870.90 dólares americanos. Este é um preço bastante elevado e não deve fazer a transação para a carteira bitcoin indicada. Irá meramente estar a oferecer suporte financeiro a piratas informáticos e a dar-lhes mais oportunidades para criarem vírus ransomware adicionais.

Ransomware NM4 e as opções de desencriptação

O vírus NM4 não é decifrável de momento. Contudo, pode ser que os investigadores de segurança gerem uma ferramenta gratuita para desencriptação. Até lá, é aconselhado a não pagar o resgate. Em vez disso, deve livrar-se deste malware e continuar com outros possíveis truques para restaurar a sua informação. Simplesmente execute exames de segurança com ferramentas anti-malware como Spyhunter, Malwarebytes ou Hitman e elas irão mostrar que aplicações maliciosas deve ser removidas. Apenas após eliminar a carga útil maliciosa pode tentar recuperar ficheiros. Deve verificar se as Shadow Volume Copies foram destruídas. Adicionalmente, há uma hipótese de que ferramentas de recuperação de ficheiros universais recuperem alguma da informação, marcada com a extensão .NM4.

Qual pode ser a razão para o ransomware NM4?

O vírus NM4 pode utilizar as cartas de spam para a sua distribuição. Se receber uma mensagem de e-mail de entidades alegadamente legítimas que o urgem a seguir uma hiperligação ou descarregar um anexo, deve verificar se esta carta contém detalhes suspeitos. Se o endereço de email de que a mensagem é originária parece enganador, não deve seguir as suas sugestões. O mesmo se aplica se a carta contém muitos erros gramaticais ou se o convida a participar em atividades para as quais não se inscreveu. Adicionalmente, tente navegar de forma mais segura e evite visitar domínios que se envolvam em serviços suspeitos.

Como remover Ransomware NM4 usando o System Restore?

1. Reinicie o seu computador no Modo de Segurança com Janela de Comandos

para Windows 7 / Vista/ XP

• Iniciar → Encerrar → Reiniciar → OK.
• Pressione a tecla F8 repetidamente até a janela de Oções de Arranque Avançadas aparecer.
• Escolha o Modo de Segurança com Janela de Comandos.

para o Windows 8 / 10

• Pressione o botão de Arranque na janela de login do Windows. Depois pressione e segure a tecla Shift e clique em Reiniciar.
• Escolha Resolução de Problemas → Opções Avançadas → Definições de Arranque e clique em Reiniciar.
• Quando carregar, selecione Habilitar Modo de Segurança com Janela de Comandos a partir das definições de Arranque.

Restaurar os ficheiros e definições de Sistema.

• Quando o modo de Janela de Comando carregar, introduza o cd de restauro e pressione Enter.
• Depois digite rstrui.exe e pressione Enter novamente.
• Clique em “Próximo” na janela que apareceu..
• Selecione um dos Pontos de Restauro que estão disponíveis antes do {parasite_name] se ter infiltrado no seu sistema e depois clique em “Próximo”.
• Para arrancar com o sistema clique em “Sim”.

2. Remoção complete do NM4 virus

Depois de restaurar o seu sistema, é recomendado que examine o seu computador com um programa anti-malware, como Spyhunter e remova todos os ficheiros maliciosos relacionados com Ransomware NM4.

3. Restaure os ficheiros afetados pelo NM4 virus usando Shadow Volume Copies

Se não usa a opção de Restauro de Sistema no seu sistema operativo, há uma hipótese de usar shadow copy snapshots. Eles armazenam cópias dos seus ficheiros do ponto temporal em que o snapshot de restauro foi criado. Normalmente, o Ransomware NM4 tenta apagar todos os Shadow Volume Copies, por isso este método pode não funcionar em todos os computadores. Contudo, pode falhar em fazê-lo.

As Shadow Volume Copies estão apenas disponíveis com o Windows XP Service Pack 2, Windows Vista, Windows 7, e Windows 8. Há duas maneiras de recuperar os seus ficheiros usando a Shadow Volume Copy. Pode fazê-lo usando a nativa Windows Previous Versions ou através do Shadow Explorer.

a) Windows Previous Versions Nativa

Clique com o botão direito do rato num ficheiro encriptado e selecione a aba Propriedades>Versões anteriores. Agora irá ver todas as cópias disponíveis desse ficheiro particular e a altura em que foi armazenada numa Shadow Volume Copy. Escolha a versão do ficheiro que quer recuperar e clique em Copiar se a quiser gravar nalgum diretório seu, ou Restaurar se quiser substituir o ficheiro existente e encriptado. Se quiser ver o conteúdo do ficheiro primeiro, clique apenas em Abrir.

b) Shadow Explorer

É um programa que pode ser encontrado online gratuitamente. Pode descarregar uma versão completa ou uma versão portátil do Shadow Explorer. Abra o programa. No canto superior esquerdo selecione o disco onde o ficheiro que procura está armazenado. Irá ver todos os ficheiros nesse disco. Para recuperar uma pasta inteira, clique com o botão direito do rato nela e selecione “Exportar”. Depois escolha onde quer que seja armazenada.

Nota: em muitos casos é impossível restaurar ficheiros de dados afetados por ransomwares modernos. Por isso recomendo utilizar um software de backup em rede como precaução. Recomendamos verificar o Carbonite, BlackBlaze, CrashPlan ou Mozy Home.

Ferramentas de Malware remoção automática