Virus NMCRYPT entfernen (Entfernungsanweisungen) - Inkl. Entschlüsselungsmethoden

Was ist NMCRYPT-Erpressersoftware?

NMCRYPT ist eine Krypto-Erpressersoftware, die fast $7000 Lösegeld in Bitcoins verlangt

NMCRYPT ist ein gefährlicher erpresserischer Kryptovirus, der derzeit über ungeschützte Remote-Desktop-Dienste, bösartige E-Mail-Anhänge und Softwareupdates verbreitet wird. Seine Entwickler nutzen die Verschlüsselungsverfahren AES-256 und RSA-2048, um die Dateien als Geiseln zu nehmen. NMCRYPT ist insbesondere dafür bekannt Videos, Audiodateien, Fotos, Textdateien, Datenbanken, Tabellenkalkulationen und Präsentationen anzuvisieren. Verschlüsselte Dateien erhalten das Suffix .NMCRYPT, weshalb der Virus auch als .NMCRYPT-Virus bezeichnet wird. Nach der erfolgreichen Verschlüsselung wird dem Opfer der Erpresserbrief Recover your files.html vorgelegt, worin eine schnellstmögliche Zahlung von $6.705,02 in Bitcoins verlangt wird.

NMCRYPT ist nach Vurten die zweite Ransomware, die ein enormes Lösegeld für den Entschlüsseler verlangt. In der Regel variieren die Lösegelder zwischen $200 und $500, aber betragen nicht mehr als $2000. Es scheint also als hätten wir es mit jemanden sehr Habgierigen zu tun.

Die NMCRYPT-Ransomware wurde Mitte April 2018 entdeckt. Sie wird von seriösen Antivirenprogrammen als Generic.Ransom.XRatLocker.5E892A47, Ransom.Haknata.S1240226, Ransom_AIRACROP.SM, Trojan.Win32.Deshacop.enxprt und ähnliches erkannt. Sie scheint insbesondere auf englischsprachige Computernutzer abzuzielen.

Ransomware-Forscher haben die Bedrohung analysiert und sind sich nicht einig über ihre Herkunft. Während einige von ihnen behaupten, sie stammt von NMoreira ab, behaupten andere, dass es sich um eine weitere Kryptoschadsoftware handelt, die auf das Open-Source-Projekt HiddenTear basiert. Tatsache ist aber, dass der NMCRYPT-Virus die Dateien so verschlüsselt, die sie derzeit nicht entschlüsselt werden können, ohne das Lösegeld zu bezahlen.

Nach der Installation der Erpressersoftware wird die Eingabeaufforderung mit Administratorrechten geöffnet und ein Skript zum Löschen von Schattenkopien ausgeführt, welche standardmäßig von Windows erstellt werden. Zudem werden alle früheren Windows-Versionen deaktiviert, die mit der Wiederherstellungsfunktion erstellt wurden. Auf diese Weise verhindern die Angreifer, dass die von NMCRYPT verschlüsselten Dateien entsperrt werden und maximieren ihren Umsatz.

Die Benutzerdateien werden nach den Verschlüsselungsalgorithmen AES-256 und RSA-2048 gesperrt, wodurch eine starke Verschlüsselung gewährleistet wird. Die Kombination aus der zweistufigen Verschlüsselung macht es praktisch unmöglich, den Code manuell zu knacken. Die Hacker bitten daher für die Entschlüsselung um die Bezahlung von $6705.02 in Bitcoins unter Verwendung des Tor-Browsers.

Um ihre Glaubwürdigkeit zu beweisen, erlauben sie ihren Opfern, ein paar DOCS-, XLS-, XML- oder JPG-Dateien, die nicht größer als 2 MB sind, auszuwählen und über http://wikisend.com/ an sie zu senden.

Das Opfer kann die ersten Informationen in der Datei Recover your files.html finden, welche standardmäßig in jedem Ordner und auf dem Desktop gespeichert sind. In ihr ist eine Anleitung zu finden, wie man den Tor-Browser herunterlädt, sowie einige Links, wo man Bitcoins erwerben kann. Die Nachricht darin lautet wie folgt:

Encrypted files!
All your files are encrypted.Using AES256-bit encryption and RSA-2048-bit encryption.
Making it impossible to recover files without the correct private key.
If you are interested in getting is the key and recover your files
You should proceed with the following steps.
The only way to decrypt your files safely is to buy the Descrypt and Private Key software.
Any attempts to restore your files with the third-party software will be fatal for your files!
Important use Firefox or Chrome browser
To proceed with the purchase you must access one of the link below
https://lylh3uqyzay3lhrd.onion.to/
https://lylh3uqyzay3lhrd.onion.link/
If neither of the links is online for a long period of time, there is another way to open it, you should install the Tor Browser
If your personal page is not available for a long period there is another way to open your personal page – installation and use of Tor Browser, etc.

Wenn Ihr PC von diesem Virus angegriffen wurde, fallen Sie nicht darauf rein, das Lösegeld zu zahlen. Nicht weil die Summe schlichtweg übertrieben ist, sondern weil es keine Garantie gibt, dass die Hacker Sie nicht ohne Schlüssel dastehen lassen. Der beste Weg im Umgang mit Ransomware ist sie zu entfernen und dann die Dateien mithilfe von Tools von Drittanbietern versuchen wiederherzustellen. Wir empfehlen NMCRYPT mit FortectIntego, SpyHunter 5Combo Cleaner oder Malwarebytes zu entfernen.

Machen Sie sich keine Sorgen, wenn die Entfernung von NMCRYPT von einigen seiner Komponenten blockiert wird. Sie müssen in diesem Falle das System einfach in den abgesicherten Modus starten und dann das Antivirenprogramm ausführen. Eine Anleitung finden Sie unter diesem Beitrag.

Die Erpressersoftware NMCRYPT ist eine der neuesten Kryptoviren im Internet. Sie sperrt Benutzerdateien wie es auch andere Erpressungsprogramme tun. Allerdings sticht sie insbesondere dadurch hervor, dass sie ein enormes Lösegeld verlangt.

Hacker nutzen mehrere Wege, um Ransomware zu verbreiten

Ransomware-Viren stehen an erster Stelle der Cyberbedrohungen von 2018. Sie liegen seit fast einem Jahrzehnt auf dieser Position und scheinen auch in naher Zukunft nicht weniger zu werden. Die zunehmende Anzahl von Angriffen lässt sich durch die Vielzahl komplizierter Verbreitungsstrategien erklären. Dies sind die wichtigsten Ransomware-Verbreitungsmedien, die von semvirus.pt unterschieden werden:

• Spammailanhänge. Formate: DOC, DOCX, PDF, PNG, JPG. Imitiert werden meist namhafte Unternehmen oder Behörden wie IRS, Amazon, eBay etc. und über relevante Themen wie Verpflichtungen, Schulden oder Pakete gesprochen.
• Exploit-Kits. Hacker verwenden spezielle Softwarepakete, um die Schwachstellen des Systems anzugreifen. Die ausgenutzte Schwachstelle dient dann als Zugangspunkt, um Ransomware einzuspeisen. Exploit-Kits können mit Softwareupdates wie Adobe oder Flash einhergehen.
• Ungeschützte Remote-Desktop-Dienste. Gauner schaffen es oft, über Internet übertragene RDP-Passwörter aufzudecken und können dann leicht mit Systemadministratorrechen in das System eindringen.
• Gefälschte Softwareupdates. Gauner können falsche Versionen von Browsern, Windows, Java, Flash Player oder sogar Browser-Fonts erstellen und auf gehackten Webseiten als Update anzeigen. Wenn ahnungslose Computernutzer auf den Download-Button klicken, wird die Ransomware gestartet.

Obwohl es viele weitere Möglichkeiten gibt, die Ransomware-Entwickler ausnutzen könnten, finden die vier oben genannten am häufigsten Anwendung. Seien Sie also vorsichtig beim Internetsurfen und achten Sie darauf, dass immer ein seriöses Antivirenprogramm auf dem Computer läuft.

Eine Anleitung zum Entfernen der NMCRYPT-Erpressersoftware

Versuchen Sie nicht, NMCRYPT manuell zu entfernen, denn dies ist nicht möglich. Die Schadsoftware führt mehrere Befehle und Skripte aus, um die Einstellungen des Systemkerns zu ändern und sich der Entfernung zu entziehen. Außerdem installiert sie ein Paket weiterer Dateien und führt stets bösartige Prozesse aus.

Die einzige Möglichkeit, NMCRYPT zu entfernen, besteht darin, eine professionelle Anti-Malware herunterzuladen oder die bereits auf dem System laufende zu aktualisieren. Überlassen Sie anschließend dem Scanner seine Arbeit. Falls der Virus Hilfsobjekte nutzt, um Sicherheitstools zu blockieren, befolgen Sie die untenstehende Anleitung: