NM4 랜섬웨어 - 제거하는 방법

NM4 랜섬웨어 바이러스는 복잡한 알고리즘 조합으로 사용자의 파일을 암호화하는 데 중점을 두는 정교한 멀웨어 감염입니다. NM4 바이러스는 전자 데이터의 암호 해독 프로세스를 복잡하게 하기 위해 AES 및 RSA 암호화를 모두 사용하는 랜섬웨어 변종 군에 속합니다. 이 특정 멀웨어는 TOR 브라우저에서만 열 수 있는 두 개의 웹사이트와 함께 작동합니다. 이 기능은 온라인 도메인으로 연결되는 html 파일에서 지불에 대한 지침을 제시하는 다른 많은 감염과 연관 될 수 있는 또 다른 기능입니다. 피해자의 데스크탑에 Recovers_your_files.html라는 실행 파일이 저장됩니다. 이 파일을 실행하면, 사용자의 선호 브라우저(Internet Explorer 또는 다른 프로그램)에서 웹사이트가 자동으로 열립니다. 그러나, 표시되는 알림은 사용자가 두 개의 TOR 지원 사이트로 이동하도록 지시합니다.

NM4 랜섬웨어: 논의 된 주요 특징

NM4 크립토-바이러스는 두 개의 암호로 암호화를 완료하기 전에 장치에서 지속성을 확보해야합니다. 장치에서 지속성을 확보하려면 그 페이로드를 운영 체제에 비밀리에 설치해야합니다. 그리고 이 시점부터, 악성 실행 파일은 Windows 레지스트리 키에 엔트리를 삽입하는 것을 목표로 합니다. 이 변경은 사용자가 장치를 켜면 자동으로 NM4 바이러스를 실행합니다. Windows 작업 관리자에서 랜섬웨어 감염의 존재를 확인할 수도 있지만, 이러한 검색은 악성 실행 파일이 합법적인 프로세스로 위장할 수 있다는 사실 때문에 복잡합니다.

그러나, 멀웨어가 운영 체제에 자리를 잡으면 애플리케이션 실행 속도 저하 등과 같은 불규칙성으로 인해 고통 받게 됩니다. 그리고 Windows 작업 관리자는 CPU 사용율을 매우 높게 표시할 수 있습니다. 일단 NM4 바이러스가 필요한 위치를 확보하게 되면, 아마도 자체 C&C 서버에 연락하여 정보를 교환할 것입니다. 그리고 그 다음은 AES-256 및 RSA-2048 암호화에 의해 지원되는 암호화가 이루어지기에 완벽한 시기입니다. 멀웨어는 아마도 암호화를 위해 다양한 파일을 선택할 것입니다. 망가진 실행 파일의 원래 확장명에 이 랜섬웨어 감염의 이름인 .NM4라는 확장명이 붙습니다.

저자는 랜섬웨어계통의 초보자가 아닙니다. 이들의 첫 번째 샘플은 R 랜섬웨어라고 불리는데, 이 두 랜섬웨어 모두 암호 해독 키에 대한 대가로 기부를 요구합니다. 그러나 R 감염은 2 BTC을 요구했던 반면, 해커들은 새로운 변종에 대한 대가를 올렸습니다. NM4 랜섬웨어는 사용자에게 약 3870.90 미국 달러에 해당하는 3 BTC를 지불하라고 안내합니다. 이것은 매우 높은 금액으로, 표시된 비트코인 지갑으로 지불을 해서는 안됩니다. 이는 해커에게 재정적인 지원을 제공하고 추가적인 랜섬웨어 바이러스를 만들 수 있는 기회를 제공할 뿐입니다.

NM4 랜섬웨어 및 암호 해독 옵션

NM4 바이러스는 현재 해독이 불가능합니다. 그러나, 보안 연구원들이 암호 해독을 위한 무료 도구를 생성할 수 있을 것입니다. 그때까지, 대가를 지불하지 마시라는 조언을 드립니다. 그 대신, 이 멀웨어를 제거하시고, 이용 가능한 다른 방법으로 데이터를 복원하셔야합니다. 간단히 Spyhunter, Reimage 또는 Hitman 같은 안티-멀웨어 도구로 보안 검사를 실행하시면 어떤 악성 애플리케이션을 삭제해야 하는지 확인하실 수 있습니다. 해당 악성 페이로드를 제거하신 후에만 파일 복구를 시도하시기 바랍니다. 셰도우 볼륨 복사본이 파괴되었는지의 여부를 확인하셔야합니다. 또한, .NM4 확장명으로 표시 된 일부 데이터를 범용 파일 복원 도구로 복원할 수 있을 가능성이 있습니다.

NM4 랜섬웨어에 감염되는 이유

NM4 바이러스는 배포에 스팸 이메일을 이용할 수 있습니다. 링크를 클릭하거나 첨부 파일을 다운로드하라고 촉구하는 의심스러운 합법 기관으로부터 이메일 메세지를 수신하신 경우, 해당 이메일에서 의심스러운 세부 정보를 확인하셔야합니다. 메세지를 발송한 이메일 주소가 가짜처럼 보이면, 그 제안 사항을 따르지 마시기 바랍니다. 메세지에 많은 문법적 오류가 있거나 등록하지 않은 활동에 초대 받으실 경우에도 마찬가지입니다. 또한, 보다 안전하게 서핑하시고 의심스러운 서비스에 연관 된 도메인을 방문하지 마시기 바랍니다.

시스템 복원을 이용한 NM4 랜섬웨어 제거 방법.

1. 명령 프롬프트 안전 모드로 컴퓨터 재부팅. Windows 7 / Vista/ XP에서 ● 시작 → 종료 → 재시작 → OK. ● 고급 부팅 옵션 화면이 나타날 때까지 F8 키를 반복해서 누릅니다. ● 명령 프롬프트 안전 모드를 선택하세요.

Windows 8 / 10에서

● Windows 로그인 화면에서 전원을 누르세요. 그 다음Shift 키를 계속 누른 상태에서 재시작을 클릭하세요. ● 문제 해결 → 고급 옵션 → 시작 설정을 선택하고 재시작을 클릭하세요. ● 로드되면 시작 설정 목록에서 명령 프롬프트 안전 모드 활성화를 선택하세요.

2. 시스템 파일 및 설정 복원.

● 명령 프롬프트 모드가 로드되면cd restore를 입력하고 Enter를 누르세요. ● rstrui.exe를 입력하고 다시 Enter를 누르세요. ● 창이 나타나면 “다음”을 클릭하세요. ● NM4 ransomware 감염 전 이용 가능한 복원 시점 중 하나를 선택하고 “다음”을 클릭하세요. ● “네”를 클릭하여 시스템 복원을 시작하세요.

3. NM4 virus 랜섬웨어 제거.

시스템 복원 후, Reimage, Spyhunter 같은 안티 멀웨어 프로그램으로 컴퓨터를 검사하고 모든 NM4 랜섬웨어 관련 악성 파일을 제거하시길 추천합니다.

4. 쉐도우 볼륨 복사본을 이용한 NM4 ransomware 감염 파일 복원.

운영 시스템에서 시스템 복원 옵션을 사용할 수 없는 경우 쉐도우 복사 스냅샷 사용을 시도해보세요. 시스템 복원 스냅샷이 생성된 시점의 파일 복사본을 저장합니다. 보통 NM4 virus는 모든 쉐도우 볼륨 복사본을 삭제하려고 하지만, 이 방법이 모든 컴퓨터에서 가능한 것은 아닙니다. 그렇기 때문에 성공할 가능성도 있고 실패할 가능성도 있습니다.

쉐도우 볼륨 복사본은 Windows XP Service Pack 2, Windows Vista, Windows 7 및 Windows 8에서만 이용이 가능합니다. 쉐도우 볼륨 복사를 통해 파일을 되찾을 수 있는 방법에는 두 가지가 있습니다. 기존의 Windows 이전 버전을 사용하거나 Shadow Explorer를 통해 할 수 있습니다.

a) 기존의 Windows 이전 버전

암호화된 파일에서 오른쪽 클릭을 하여 속성>이전 버전 탭을 선택하세요. 그러면 모든 이용 가능한 특정 파일의 복사본과 쉐도우 볼륨 복사에 해당 파일이 저장된 시간을 확인할 수 있습니다. 되찾고자 하는 파일의 버전을 선택하세요. 자신의 디렉토리에 저장하고 싶거나 암호화된 파일과 교체하고 싶은 경우, 복사를 클릭하세요. 파일의 내용을 먼저 보고 싶은 경우, 열기를 클릭하세요.

b) Shadow Explorer

온라인에서 무료로 이용 가능한 프로그램입니다. Shadow Explorer의 전체 버전과 휴대용 버전을 다운로드 받을 수 있습니다. 왼쪽 상단에서 찾고자하는 파일이 저장된 드라이브를 선택해주세요. 해당 드라이브의 모든 폴더를 확인할 수 있습니다. 전체 폴더를 되찾으려면, 폴더를 오른쪽 클릭한 뒤 “보내기”를 선택하세요. 그리고나서 해당 폴더를 저장하고자하는 위치를 선택하세요. 알림: 많은 경우에 최신 랜섬의 영향을 받은 데이터 파일을 복원하는 것은 불가능합니다. 따라서 예방 조치로 적절한 클라우드 백업 소프트웨어를 사용하시길 추천합니다. Carbonite, BackBlaze, CrashPlan 또는 Mozy Home을 확인해보시기 바랍니다.