Hvordan gendannes filer krypteret med Nesa ransomware?

Spørgsmål

Problem: Hvordan gendannes filer krypteret med Nesa ransomware?

Hej, jeg er inficeret med en virus. Mine billeder, videoer, dokumenter og andre filer er alle ubrugelige. Jeg kan ikke åbne dem på nogen måde! Ikonerne er ændret til tomme, og hver fil har .nesa i stedet for .jpg, .pdf og andre. Hvordan gendanner jeg mine filer tilbage? Vær venlig at hjælpe mig!

Løst svar

Nesa ransomware er den nyeste version af HOLD OP/Djvu ransomware familie. Siden udgivelsen i december 2017 er varianterne af denne malware-stamme blevet frigivet over 150 gange. Frekvensversionsudgivelserne er dog ikke den eneste funktion, der gør denne familie så ødelæggende - cyberkriminelle bag det arbejder hårdt på at implementere nye funktioner og udvide driften ved at anvende sofistikeret distribution teknikker.

Ligesom mange tidligere STOP/Djvu-versioner, kan Nesa ransomware distribueres på en række forskellige metoder, herunder udnyttelsessæt, adware-bundter,^[1] ubeskyttet fjernskrivebord^[2] forbindelser, falske opdateringer, hackede sider, drive-by-downloads, spam-e-mails osv. Brug af flere distributionsvektorer øger chancen for, at flere brugere bliver inficeret med Nesa-virus, hvilket øger hastigheden, hvormed kriminelle kan blive betalt.

Nesa ransomware er krypto-malware, så dets hovedmål er at låse alle billeder, dokumenter, PDF og andre personlige filer ved hjælp af en asymmetrisk krypteringsalgoritme. På denne måde forhindrer malwaren ofre i at få adgang til alle de data, der findes på computeren, sammen med eventuelle tilsluttede lager eller netværk.

Gendan filer krypteret med .nesa

Selvom man kan tænke på, at filer er blevet beskadiget, er det ikke tilfældet – .nesa filtypenavnet fungerer som en lås, der kræver en nøgle for at blive åbnet. Nøglen er i besiddelse af ondsindede aktører bag virussen, og den opbevares på en fjernkommando og kontrol^[3] server.

Brugere bliver typisk informeret via løsesumsedlen _readme.txt om situationen og forklarer, at hvis de ønsker at hente dekrypteringsværktøjet, de skal betale $980 værd af Bitcoin som løsesum, selvom hackere hævder, at brugere er berettiget til 50% rabat, hvis de kontakter skurkene via [e-mailbeskyttet] eller [e-mailbeskyttet] e-mails og accepterer at overføre pengene.

Sikkerhedseksperter anbefaler dog ikke at betale løsesummen, da hackere måske aldrig sender den nødvendige Nesa-dekryptering, selv efter betalingen er foretaget. Desuden vil belønning af cyberkriminelle for deres ondsindede handlinger kun tilskynde dem til at producere en ny og forbedret version af virussen. Med andre ord, ved at betale dem øger brugerne behovet for at skabe mere malware og inficere flere ofre, hvorfor ransomware er en af ​​de førende malware-typer i naturen.

I stedet bør du fjerne Nesa ransomware ved hjælp af sikkerhedssoftware som ReimageMac vaskemaskine X9 (vær opmærksom på, at på grund af stadigt skiftende og forbedrede versionsvarianter kan fjernelsen kræve en scanning med flere anti-malware værktøjer) og derefter bruge alternative metoder til at gendanne filer krypteret med Nesa ransomware.

Hvordan dekrypteres .NESa-filer?

Første gang opdaget af sikkerhedsforskning Michael Gillespie,^[4] Nesa ransomware dukkede op i slutningen af ​​september 2019. Det hører også til den nye bølge af STOP-versioner, der bruger en forbedret måde at kryptere filer på. Derudover dropper malwaren også et nyt modul, som er i stand til at indsamle personlige brugeroplysninger, hvilket fører til følsomme data og pengetab.

En anden egenskab ved Nesa-virus er dens evne til at ændre Windows-værtsfilen. Denne ændring sikrer, at brugere ikke er i stand til at søge hjælp på sikkerhedsfokuserede websteder. Men alle disse ændringer er reversible ved hjælp af Nesa ransomware-eliminering - vi forklarer, hvordan man gør det nedenfor.

Løsesedlen _readme.txt placeres i hver af de berørte mapper

Hvad der dog ikke er reversibelt, er filerne. Selv efter afslutningen af ​​infektionerne vil ofrene ikke kunne se deres filer, og de vil forblive låst. Denne funktion er især det, der gør ransomware så ødelæggende - det kan resultere i permanent datatab.

Som vi tidligere har sagt, er det ganske risikabelt at betale løsesum, og de fleste af eksperterne fraråder at gøre det. Selvom det måske ikke er muligt at hente .nesa-låste filer på andre måder, er der stadig chancer for, at de vil hjælpe, eller i det mindste delvist. I det næste afsnit giver vi detaljerede instruktioner om, hvordan du fjerner Nesa ransomware, og hvordan du forsøger filgendannelse ved at bruge alternative metoder.

Trin 1. Fjern Nesa ransomware fra din computer

Vi fraråder dig på det kraftigste at forsøge at fjerne ransomware manuelt, da truslen foretager hundredvis af ændringer på computeren, og at gendanne dem ville kræve professionel IT-viden. I stedet bør du bruge en kraftfuld anti-malware-software og udføre en fuld systemscanning med den - den bør slette infektionen automatisk.

Dog kan Nesa ransomware manipulere med dit anti-malware-værktøj. I et sådant tilfælde skal du få adgang til fejlsikret tilstand med netværk og udføre scanningen derfra:

• Højreklik på Start knappen og vælg Indstillinger
• Gå til Opdatering og sikkerhed sektion og vælg Genopretning
• Finde Avanceret opstart og klik på Genstart nu (bemærk: dette vil straks genstart din computer) Du bør få adgang til fejlsikret tilstand med netværk, hvis den almindelige metode ikke virker for dig
• Vælg derefter følgende sti: Fejlfinding > Avancerede indstillinger > Startindstillinger og klik Genstart
• Efter genstart skal du trykke på F5 eller 5 til at nå Fejlsikret tilstand med netværk

Udfør en fuld systemscanning med anti-malware-software. Derefter skal du gå til følgende sti:

C:\\Windows\\System32\\drivere\\etc

Når du er der, skal du finde en fil kaldet værter. Højreklik på den og tryk Slet. Tøm din Skraldespand bagefter. Når du sletter værtsfilen, stopper du de begrænsninger, der blev sat af angriberne

Trin 2. Prøv at bruge Data Recovery Pro til .nesa-låste filer

Afhængigt af hvor meget du brugte din computer efter Nesa-infektion, kan Data Recovery Pro muligvis hjælpe dig med (delvis) gendannelse. Du bør dog prøve det, da det er et af de bedste genoprettelsesværktøjer på markedet i dag:

• Start med at downloade Data Recovery Pro [link]
• Brug instruktionerne på skærmen til at installere programmet. Når du er færdig, skal du dobbeltklikke på Data Recovery Pro genvej på dit skrivebord at åbne den
• Vælg Mulighed for fuld scanning og klik på Start scanning (du kan også søge efter individuelle filer baseret på nøgleord)
• Når scanningen er færdig, skal du se, om nogen af ​​dine filer er blevet gendannet. Hvis ja, klik på Gendanne at hente dem Brug Data Recovery Pro

Trin 3. ShadowExplorer kan potentielt gendanne alle dine data

Næsten alle ransomware-virus er programmeret til at slette Shadow Volume Copies – og automatisk backup-system, der bruges af Windows. Ikke desto mindre kan denne funktion mislykkes eller springes over. Værktøjer som ShadowExplorer er ideelle til sådanne scenarier og burde højst sandsynligt være i stand til at gendanne .Nesa-filer.

• Installere ShadowExplorer [link]
• vælg det drev og den mappe, du vil gendanne
• Højreklik og vælg Eksport Nesa kan nogle gange dekrypteres med ShadowExplorer

Trin 4. Prøv en indbygget funktion til tidligere versioner

Funktionen til tidligere versioner i Windows er nem at bruge og kræver ingen eksterne programmer. Dog er det, at det kun virker, hvis Systemgendannelse var aktiveret før ransomware-angrebet, og kun én gang ad gangen kan gendannes. Ikke desto mindre bør du også prøve denne metode:

• Gå til mappen, hvor de låste filer er placeret
• Højreklik på filen og vælg Gendan tidligere versioner
• Vælg den version, du vil gendanne den til, og vælg Gendan Gør brug af funktionen tidligere versioner i Windows

Valgfrit: Prøv Dr. Web Rescue-pakketjenesten

Dr. Web er en af ​​de antivirusproducenter, der var dybt involveret i SROP/Djvu ransomware siden begyndelsen – forskerne udviklede fungerende dekryptering til .DATAWAIT, .DATASTOP og lignende versioner af virus. Hackere var dog som forventet hurtige til at udvikle nye varianter, som værktøjet ikke længere virkede til.

Ikke desto mindre tilbød Dr. Web hjælp til ofrene mod en vis betaling. Uden tvivl spørger firmaet meget mindre end ransomware-udviklere (Redningspakke koster €150), og de er ingen kriminelle. Så hvis du vælger at betale, skal du hellere vælge Dr. Web i stedet for skurke. Bemærk: Det er muligt, at ikke alle filer kan dekrypteres af Dr. Web, kontakt dem venligst for at få mere at vide.

Du kan finde alle detaljerne her og ansøg også om tjenesten. Bemærk, at hvis du havde Dr. Web-software installeret under infektionen af ​​Nesa ransomware, er tjenesten helt gratis.

Ingen gendannelsesmetoder hjalp? Gå ikke i panik...

Nesa ransomware er en ganske ødelæggende infektion, da det kan resultere i permanent tab af filer, der ikke kun består af timers arbejde, men også har sentimental værdi. Derfor ser nogle brugere muligvis ingen anden mulighed end at betale cyberkriminelle for at returnere deres dyrebare filer. Inden du gør det, skal du dog huske på, at sikkerhedsforskere konstant arbejder på alternative værktøjer, der kan hjælpe brugere i nogle tilfælde. Du kan prøve at bruge dette værktøj, selvom .nesa-versionen ikke er blevet tilføjet endnu, selvom den sandsynligvis vil ændre sig i fremtiden.

Endelig, hvis du er ude af muligheder, og du er desperat efter at hente dine filer, så gå videre og betal cyberkriminelle. Gør det dog på egen risiko, da der ikke er nogen garanti for, at du får Nesa ransomware decryptor fra malware forfattere.

Gendan filer og andre systemkomponenter automatisk

For at gendanne dine filer og andre systemkomponenter kan du bruge gratis guider fra ugetfix.com-eksperter. Men hvis du føler, at du ikke er erfaren nok til selv at implementere hele recovery-processen, anbefaler vi at bruge recovery-løsninger, der er anført nedenfor. Vi har testet hvert af disse programmer og deres effektivitet for dig, så alt du skal gøre er at lade disse værktøjer gøre alt arbejdet.

Reimage - et patenteret specialiseret Windows reparationsprogram. Det vil diagnosticere din beskadigede pc. Det scanner alle systemfiler, DLL'er og registreringsnøgler, der er blevet beskadiget af sikkerhedstrusler.Reimage - et patenteret specialiseret Mac OS X reparationsprogram. Det vil diagnosticere din beskadigede computer. Det scanner alle systemfiler og registreringsnøgler, der er blevet beskadiget af sikkerhedstrusler.
Denne patenterede reparationsproces bruger en database med 25 millioner komponenter, der kan erstatte enhver beskadiget eller manglende fil på brugerens computer.
For at reparere beskadiget system skal du købe den licenserede version af Reimage værktøj til fjernelse af malware.

trykke