Kuinka palauttaa Nesa ransomwaren salaamat tiedostot?

Kysymys

Ongelma: Kuinka palauttaa Nesa ransomwaren salaamat tiedostot?

Hei, olen saanut viruksen. Kuvani, videoni, asiakirjani ja muut tiedostoni ovat kaikki käyttökelvottomia. En voi avata niitä millään tavalla! Kuvakkeet ovat muuttuneet tyhjiksi, ja jokaisessa tiedostossa on .nesa .jpg, .pdf ja muiden sijaan. Kuinka palautan tiedostoni takaisin? Auttaisitko minua!

Ratkaistu vastaus

Nesa lunnasohjelma on uusin versio LOPETTAA/Djvu ransomware-perhe. Tämän haittaohjelmakannan julkaisun jälkeen joulukuussa 2017 muunnelmia on julkaistu yli 150 kertaa. Taajuusversioiden julkaisut eivät kuitenkaan ole ainoa ominaisuus, joka tekee tästä perheestä niin tuhoavan – kyberrikolliset sen takana työskentelee ahkerasti uusien ominaisuuksien käyttöönottamiseksi ja toiminnan laajentamiseksi käyttämällä kehittynyttä jakelua tekniikat.

Kuten monet aiemmat STOP/Djvu-versiot, Nesa ransomware voidaan jakaa useilla eri tavoilla, mukaan lukien hyväksikäyttöpakkaukset, mainosohjelmapaketit,^[1] suojaamaton etätyöpöytä^[2] yhteydet, väärennetyt päivitykset, hakkeroidut sivustot, ajolataukset, roskapostit jne. Useiden leviämisvektorien käyttö lisää useiden käyttäjien todennäköisyyttä saada Nesa-virustartunnan, mikä lisää rikollisten palkkaa.

Nesa ransomware on kryptohaittaohjelma, joten sen päätavoitteena on lukita kaikki kuvat, asiakirjat, PDF-tiedostot ja muut henkilökohtaiset tiedostot epäsymmetrisen salausalgoritmin avulla. Tällä tavalla haittaohjelma estää uhreja pääsemästä käsiksi kaikkiin tietokoneella oleviin tietoihin, sekä kaikkiin kytkettyihin tallennustiloihin tai verkkoihin.

Palauta .nesa-salatut tiedostot

Vaikka tiedostot saattavat olla vioittuneet, niin se ei pidä paikkaansa – .nesa-tiedostotunniste toimii kuin lukko, joka tarvitsee avaimen avatakseen. Avain on viruksen takana olevien ilkeiden toimijoiden hallussa, ja sitä säilytetään Command & Controlin etänä.^[3] palvelin.

Yleensä käyttäjille tiedotetaan tilanteesta lunnaita koskevalla huomautuksella _readme.txt ja selitetään, että jos he haluavat noutaa salauksenpurkutyökalun, heidän on maksettava 980 dollarin arvosta Bitcoinia lunnaiksi, vaikka hakkerit väittävät, että käyttäjät ovat oikeutettuja 50 % alennukseen, jos he ottavat yhteyttä roistoihin [sähköposti suojattu] tai [sähköposti suojattu] sähköpostit ja suostut siirtämään rahat.

Turvallisuusasiantuntijat neuvovat kuitenkin olemaan maksamatta lunnaita, koska hakkerit eivät välttämättä koskaan lähetä vaadittua Nesa-salauksenpurkulaitetta edes maksun suorittamisen jälkeen. Lisäksi kyberrikollisten palkitseminen heidän pahantahtoisista teoistaan ​​vain kannustaisi heitä tuottamaan uuden ja parannetun version viruksesta. Toisin sanoen maksamalla niille käyttäjät lisäävät tarvetta luoda lisää haittaohjelmia ja saastuttaa enemmän uhreja, minkä vuoksi lunnasohjelmat ovat yksi johtavista haittaohjelmatyypeistä luonnossa.

Sen sijaan sinun tulee poistaa Nesa ransomware esimerkiksi tietoturvaohjelmistojen avulla ReimageMac-pesukone X9 (Huomaa, että jatkuvasti muuttuvien ja parannettujen versioversioiden vuoksi poistaminen saattaa vaatia skannauksen useita haittaohjelmien torjuntatyökaluja) ja käyttää sitten vaihtoehtoisia menetelmiä Nesa ransomwaren salaamien tiedostojen palauttamiseen.

Kuinka purkaa .nesa-tiedostojen salaus?

Ensimmäinen turvallisuustutkimus Michael Gillespie havaitsi,^[4] Nesa ransomware ilmestyi syyskuun 2019 lopulla. Se kuuluu myös STOP-versioiden uuteen aaltoon, jotka käyttävät parannettua tapaa salata tiedostoja. Lisäksi haittaohjelma pudottaa myös uuden moduulin, joka pystyy keräämään henkilökohtaisia ​​käyttäjätietoja, mikä johtaa arkaluonteisiin tietoihin ja rahan menetyksiin.

Toinen Nesa-viruksen ominaisuus on sen kyky muokata Windows hosts -tiedostoa. Tämä muutos varmistaa, että käyttäjät eivät voi hakea apua tietoturvaan keskittyviltä verkkosivustoilta. Kaikki nämä muutokset ovat kuitenkin peruutettavissa Nesa ransomware -poiston avulla – selitämme kuinka se tehdään alla.

Lunnasilmoitus _readme.txt sijoitetaan kuhunkin vaikutuksen alaisena olevaan kansioon

Mitä ei kuitenkaan voida peruuttaa, ovat tiedostot. Edes tartunnan päättymisen jälkeen uhrit eivät voi tarkastella tiedostojaan, ja he pysyvät lukittuina. Erityisesti tämä ominaisuus tekee kiristysohjelmista niin tuhoisan – se voi johtaa pysyvään tietojen katoamiseen.

Kuten aiemmin totesimme, lunnaiden maksaminen on riskialtista, ja useimmat asiantuntijat neuvovat olemaan tekemättä sitä. Vaikka .nesa-lukittujen tiedostojen noutaminen muilla tavoilla ei ehkä ole mahdollista, on silti mahdollista, että ne auttavat tai ainakin osittain. Seuraavassa osiossa annamme yksityiskohtaiset ohjeet Nesa ransomwaren poistamiseen ja tiedostojen palauttamisen yrittämiseen vaihtoehtoisilla menetelmillä.

Vaihe 1. Poista Nesa ransomware tietokoneeltasi

Emme suosittele sinua yrittämästä poistaa kiristysohjelmaa manuaalisesti, sillä uhka tekee satoja muutoksia tietokoneeseen ja niiden palauttaminen vaatisi ammattitaitoista IT-osaamista. Sen sijaan sinun tulee käyttää tehokasta haittaohjelmien torjuntaohjelmistoa ja suorittaa täydellinen järjestelmätarkistus sillä - sen pitäisi poistaa tartunta automaattisesti.

Nesa ransomware saattaa kuitenkin peukaloida haittaohjelmien torjuntatyökaluasi. Tässä tapauksessa sinun tulee siirtyä vikasietotilaan verkkoyhteydellä ja suorittaa tarkistus sieltä:

• Napsauta hiiren kakkospainikkeella alkaa -painiketta ja valitse asetukset
• Mene Päivitys ja suojaus osio ja valitse Elpyminen
• löytö Edistynyt käynnistys ja klikkaa Käynnistä uudelleen nyt (huom: tämä tulee heti Käynnistä tietokoneesi uudelleen) Sinun tulee käyttää vikasietotilaa verkkoyhteydellä, jos tavallinen menetelmä ei toimi sinulle
• Valitse sitten seuraava polku: Vianmääritys > Lisäasetukset > Käynnistysasetukset ja napsauta Uudelleenkäynnistää
• Uudelleenkäynnistyksen jälkeen paina F5 tai 5 saavuttaakseen Vikasietotila verkkoyhteydellä

Suorita täydellinen järjestelmätarkistus haittaohjelmien torjuntaohjelmistolla. Tämän jälkeen sinun tulee siirtyä seuraavalle polulle:

C:\\Windows\\System32\\drivers\\etc

Kun olet siellä, etsi tiedosto nimeltä hosts. Napsauta sitä hiiren kakkospainikkeella ja paina Poistaa. Tyhjennä omasi Roskakori jälkeenpäin. Kun poistat isäntätiedoston, lopetat hyökkääjien asettamat rajoitukset

Vaihe 2 Kokeile Data Recovery Prota lukituille .nesa-tiedostoille

Riippuen siitä, kuinka paljon käytit tietokonettasi Nesa-tartunnan jälkeen, Data Recovery Pro saattaa auttaa sinua (osittaisessa) palautumisessa. Sinun kannattaa kuitenkin kokeilla sitä, sillä se on yksi markkinoiden parhaista palautustyökaluista nykyään:

• Aloita lataamisesta Data Recovery Pro [linkki]
• Käytä näytön ohjeita sovelluksen asentamiseen. Kun olet valmis, kaksoisnapsauta Data Recovery Prota pikakuvake työpöydälläsi avataksesi sen
• Valitse Full Scan -vaihtoehto ja klikkaa Aloita skannaus (voit myös etsiä yksittäisiä tiedostoja avainsanojen perusteella)
• Tarkista tarkistuksen päätyttyä, onko jokin tiedostosi palautunut. Jos on, napsauta Palauta hakemaan niitä Käytä Data Recovery Prota

Vaihe 3. ShadowExplorer voi mahdollisesti palauttaa kaikki tietosi

Melkein kaikki kiristysohjelmavirukset on ohjelmoitu poistamaan Shadow Volume Copies – ja Windowsin käyttämä automaattinen varmuuskopiointijärjestelmä. Tämä toiminto saattaa kuitenkin epäonnistua tai ohittaa. Työkalut, kuten ShadowExplorer, ovat ihanteellisia tällaisiin skenaarioihin, ja niiden pitäisi todennäköisesti pystyä palauttamaan .Nesa-tiedostoja.

• Asentaa ShadowExplorer [linkki]
• valitse asema ja kansio, jonka haluat palauttaa
• Napsauta hiiren kakkospainikkeella ja valitse Viedä Nesan salaus voidaan joskus purkaa ShadowExplorerilla

Vaihe 4. Kokeile sisäänrakennettua aiempien versioiden ominaisuutta

Windowsin aiemmat versiot -ominaisuutta on helppo käyttää, eikä se vaadi ulkoisia ohjelmia. Sen huono puoli on kuitenkin, että se toimii vain, jos järjestelmän palauttaminen oli käytössä ennen kiristysohjelmahyökkäystä ja vain kerran kerrallaan voidaan palauttaa. Sinun tulee kuitenkin kokeilla myös tätä menetelmää:

• Siirry kansioon, jossa lukitut tiedostot sijaitsevat
• Napsauta tiedostoa hiiren kakkospainikkeella ja valitse Palauta edelliset versiot
• Valitse versio, johon haluat palauttaa sen, ja valitse Palauttaa Käytä Windowsin aikaisemmat versiot -ominaisuutta

Valinnainen: Kokeile Dr. Web Rescue Pack -palvelua

Dr. Web on yksi virustentorjuntavalmistajista, joka on ollut syvästi mukana SROP/Djvu-lunnasohjelmissa alussa – tutkijat kehittivät toimivan salauksen purkuohjelman .DATAWAIT-, .DATASTOP- ja vastaaville versioille virus. Kuitenkin odotetusti hakkerit kehittivät nopeasti uusia muunnelmia, joihin työkalu ei enää toiminut.

Siitä huolimatta tohtori Web tarjosi uhreille apua tietyn summan maksua vastaan. Epäilemättä yritys pyytää paljon vähemmän kuin lunnasohjelmien kehittäjät (Pelastuspaketti maksaa 150 €), eivätkä he ole rikollisia. Joten jos valitset maksamisen, valitse mieluummin Dr. Web roistojen sijaan. Huomautus: On mahdollista, että Dr. Web ei voi purkaa kaikkien tiedostojen salausta. Ota yhteyttä heihin saadaksesi lisätietoja.

Löydät kaikki yksityiskohdat tässä ja hakea myös palvelua. Huomaa, että jos sinulla oli Dr. Web -ohjelmisto asennettuna Nesa ransomware -tartunnan aikana, palvelu on täysin ilmainen.

Eikö palautusmenetelmistä ollut apua? Älä panikoi…

Nesa ransomware on varsin tuhoisa infektio, koska se voi johtaa pysyvään tiedostojen katoamiseen, joka ei koostu pelkästään työtunteista, vaan jolla on myös tunnearvoa. Siksi jotkut käyttäjät eivät välttämättä näe muuta vaihtoehtoa kuin maksaa verkkorikollisille arvokkaiden tiedostojensa palauttamisesta. Ennen kuin teet sen, sinun tulee kuitenkin muistaa, että tietoturvatutkijat työskentelevät jatkuvasti vaihtoehtoisten työkalujen parissa, jotka voivat auttaa käyttäjiä joissakin tapauksissa. Voit kokeilla käyttää tämä työkalu, vaikka .nesa-versiota siihen ei ole vielä lisätty, vaikka se todennäköisesti muuttuu tulevaisuudessa.

Lopuksi, jos vaihtoehdot eivät ole enää käytettävissä ja haluat epätoivoisesti palauttaa tiedostosi, maksa verkkorikollisille. Tee se kuitenkin omalla riskilläsi, sillä ei ole takeita siitä, että saat Nesa ransomware -salauksen purkuohjelman haittaohjelmien tekijöiltä.

Palauta tiedostot ja muut järjestelmäkomponentit automaattisesti

Voit palauttaa tiedostot ja muut järjestelmäkomponentit käyttämällä ugetfix.com-asiantuntijoiden ilmaisia ​​oppaita. Jos kuitenkin sinusta tuntuu, että et ole tarpeeksi kokenut toteuttamaan koko palautusprosessia itse, suosittelemme käyttämään alla lueteltuja palautusratkaisuja. Olemme testanneet jokaista näistä ohjelmista ja niiden tehokkuutta puolestasi, joten sinun tarvitsee vain antaa näiden työkalujen tehdä kaikki työ.

Reimage - patentoitu erikoistunut Windowsin korjausohjelma. Se diagnosoi vaurioituneen tietokoneesi. Se skannaa kaikki järjestelmätiedostot, DLL: t ja rekisteriavaimet, jotka tietoturvauhat ovat vahingoittaneet.Reimage - patentoitu erikoistunut Mac OS X -korjausohjelma. Se diagnosoi vaurioituneen tietokoneesi. Se skannaa kaikki järjestelmätiedostot ja rekisteriavaimet, jotka tietoturvauhat ovat vahingoittaneet.
Tämä patentoitu korjausprosessi käyttää 25 miljoonan komponentin tietokantaa, jotka voivat korvata käyttäjän tietokoneelta vaurioituneen tai puuttuvan tiedoston.
Vioittuneen järjestelmän korjaamiseksi sinun on ostettava lisensoitu versio Reimage haittaohjelmien poistotyökalu.

Lehdistö