Kaip atkurti Nesa ransomware užšifruotus failus?

Klausimas

Problema: kaip atkurti „Nesa“ išpirkos reikalaujančios programos užšifruotus failus?

Sveiki, esu užsikrėtęs virusu. Mano nuotraukos, vaizdo įrašai, dokumentai ir kiti failai yra netinkami naudoti. Jokiu būdu negaliu jų atidaryti! Piktogramos pakeistos į tuščias, o kiekviename faile yra .nesa, o ne .jpg, .pdf ir kt. Kaip atkurti failus? Prašau padėkite man!

Išspręstas atsakymas

Nesa ransomware yra naujausia versija SUSTABDYTI/Djvu ransomware šeima. Nuo jos išleidimo 2017 m. gruodžio mėn., šios kenkėjiškos programos variantai buvo išleisti daugiau nei 150 kartų. Tačiau dažnių versijų leidimai nėra vienintelė savybė, dėl kurios ši šeima tokia pražūtinga – kibernetiniai nusikaltėliai už jos sunkiai dirba diegdami naujas funkcijas ir plečiant operacijas pasitelkdami sudėtingą platinimą technikos.

Kaip ir daugelis ankstesnių STOP/Djvu versijų, „Nesa“ išpirkos reikalaujančios programos gali būti platinamos įvairiais būdais, įskaitant išnaudojimo rinkinius, reklaminių programų paketus,^[1] neapsaugotas nuotolinis darbalaukis^[2] ryšiai, netikri naujinimai, įsilaužtos svetainės, greitas atsisiuntimas, el. pašto šiukšlės ir kt. Naudojant kelis platinimo vektorius padidėja tikimybė, kad daugiau vartotojų užsikrės Nesa virusu, todėl nusikaltėliai gali gauti atlyginimą.

Nesa ransomware yra kriptografinė kenkėjiška programa, todėl pagrindinis jos tikslas yra užrakinti visas nuotraukas, dokumentus, PDF ir kitus asmeninius failus, naudojant asimetrinį šifravimo algoritmą. Tokiu būdu kenkėjiška programa neleidžia aukoms pasiekti visų kompiuteryje esančių duomenų, taip pat bet kokių prijungtų saugyklų ar tinklų.

Atkurti failus, užšifruotus .nesa

Nors gali būti, kad failai buvo sugadinti, taip nėra – .nesa failo plėtinys tarnauja kaip užraktas, kurį reikia atidaryti. Raktą turi piktavališki viruso veikėjai ir jis yra nuotolinio valdymo ir valdymo pulte.^[3] serveris.

Naudotojai paprastai informuojami išpirkos užrašu _readme.txt apie situaciją ir paaiškinama, kad jei jie nori gauti iššifravimo įrankį, jiems reikia sumokėti 980 USD vertės Bitcoin kaip išpirką, nors įsilaužėliai teigia, kad vartotojai turi teisę gauti 50% nuolaidą, jei susisiekia su sukčiais per [apsaugotas el. paštas] arba [apsaugotas el. paštas] laiškus ir sutinka pervesti pinigus.

Tačiau saugumo ekspertai pataria nemokėti išpirkos, nes įsilaužėliai gali niekada neatsiųsti reikiamo „Nesa“ iššifravimo įrenginio, net ir sumokėjus. Be to, atlyginimas kibernetiniams nusikaltėliams už jų piktybinius poelgius tik paskatintų juos sukurti naują ir patobulintą viruso versiją. Kitaip tariant, mokėdami juos vartotojai skatina kurti daugiau kenkėjiškų programų ir užkrėsti daugiau aukų, todėl išpirkos reikalaujančios programos yra viena iš pirmaujančių kenkėjiškų programų tipų laukinėje gamtoje.

Vietoj to turėtumėte pašalinti „Nesa“ išpirkos reikalaujančią programinę įrangą naudodami tokią saugos programinę įrangą kaip Reimage„Mac“ skalbimo mašina X9 (atminkite, kad dėl nuolat kintančių ir tobulėjančių versijų variantų, norint pašalinti, gali reikėti nuskaityti su kelis kovos su kenkėjiškomis programomis įrankius), tada naudokite alternatyvius metodus, kad atkurtumėte failus, užšifruotus „Nesa“ išpirkos reikalaujančios programinės įrangos.

Kaip iššifruoti .nesa failus?

Pirmą kartą pastebėtas saugumo tyrimų Michaelas Gillespie,^[4] Nesa ransomware pasirodė 2019 m. rugsėjo pabaigoje. Ji taip pat priklauso naujajai STOP versijų bangai, kurioje naudojamas patobulintas failų šifravimo būdas. Be to, kenkėjiška programa taip pat atmeta naują modulį, kuris gali rinkti asmeninę vartotojo informaciją, todėl gali būti prarasti neskelbtini duomenys ir pinigai.

Kita Nesa viruso savybė yra galimybė modifikuoti Windows hosts failą. Šis pakeitimas užtikrina, kad naudotojai negalės ieškoti pagalbos su saugumu susietose svetainėse. Tačiau visi šie pakeitimai yra grįžtami naudojant Nesa išpirkos reikalaujančių programų pašalinimą – kaip tai padaryti, paaiškiname žemiau.

Išpirkos laiškas _readme.txt dedamas į kiekvieną paveiktą aplanką

Tačiau failai yra neatšaukiami. Net ir pasibaigus infekcijoms aukos negalės peržiūrėti savo failų ir liks užrakintos. Visų pirma dėl šios funkcijos išpirkos reikalaujančios programos yra tokios niokojančios – dėl jos gali būti visam laikui prarasti duomenys.

Kaip minėjome anksčiau, mokėti išpirką yra rizikinga, ir dauguma ekspertų pataria to nedaryti. Nors gali būti neįmanoma gauti .nesa užrakintų failų kitais būdais, vis tiek yra tikimybė, kad jie padės arba bent iš dalies. Kitame skyriuje pateikiame išsamias instrukcijas, kaip pašalinti Nesa ransomware ir kaip bandyti atkurti failus naudojant alternatyvius metodus.

1 žingsnis. Pašalinkite „Nesa“ išpirkos reikalaujančią programinę įrangą iš savo kompiuterio

Labai nerekomenduojame bandyti pašalinti išpirkos reikalaujančios programinės įrangos rankiniu būdu, nes grėsmė padaro šimtus kompiuterio pakeitimų, o norint juos grąžinti reikės profesionalių IT žinių. Vietoj to turėtumėte naudoti galingą apsaugos nuo kenkėjiškų programų programinę įrangą ir su ja atlikti visą sistemos nuskaitymą – ji turėtų automatiškai pašalinti infekciją.

Tačiau „Nesa“ ransomware gali sugadinti jūsų apsaugos nuo kenkėjiškų programų įrankį. Tokiu atveju turėtumėte pasiekti saugųjį režimą su tinklu ir atlikti nuskaitymą iš ten:

• Dešiniuoju pelės mygtuku spustelėkite Pradėti mygtuką ir pasirinkite Nustatymai
• Eiti į Atnaujinimas ir sauga skyrių ir pasirinkite Atsigavimas
• Rasti Išplėstinis paleidimas ir spustelėkite Paleiskite iš naujo dabar (pastaba: tai bus nedelsiant iš naujo paleiskite kompiuterį) Turėtumėte pasiekti saugųjį režimą su tinklu, jei įprastas metodas jums netinka
• Tada pasirinkite šį kelią: Trikčių šalinimas > Išplėstinės parinktys > Paleisties nustatymai ir spustelėkite Perkrauti
• Po perkrovimo paspauskite F5 arba 5 pasiekti Saugusis režimas su tinklu

Atlikite visą sistemos nuskaitymą naudodami anti-kenkėjiškų programų programinę įrangą. Po to turėtumėte eiti šiuo keliu:

C: \\ Windows \\ System32 \\ drivers \\ etc

Ten raskite failą pavadinimu hosts. Dešiniuoju pelės mygtuku spustelėkite jį ir paspauskite Ištrinti. Ištuštinkite savo Šiukšliadėžė po to. Ištrynę pagrindinį failą, sustabdysite užpuolikų nustatytus apribojimus

2 žingsnis. Pabandykite naudoti „Data Recovery Pro“ .nesa užrakintiems failams

Priklausomai nuo to, kiek naudojote kompiuterį po „Nesa“ užkrėtimo, „Data Recovery Pro“ gali padėti (dalinai) atkurti arba nepadėti. Tačiau turėtumėte tai išbandyti, nes tai yra vienas geriausių atkūrimo įrankių šiandieninėje rinkoje:

• Pradėkite nuo atsisiuntimo Data Recovery Pro [nuoroda]
• Norėdami įdiegti programą, vadovaukitės ekrane pateikiamomis instrukcijomis. Baigę dukart spustelėkite Data Recovery Pro spartųjį klavišą darbalaukyje kad jį atidarytumėte
• Pasirinkite Viso nuskaitymo parinktis ir spustelėkite Pradėti nuskaitymą (taip pat galite ieškoti atskirų failų pagal raktinius žodžius)
• Baigus nuskaitymą, patikrinkite, ar kuris nors iš jūsų failų buvo atkurtas. Jei taip, spustelėkite Atsigauti juos atgauti Naudokite Data Recovery Pro

3 veiksmas. „ShadowExplorer“ gali atkurti visus jūsų duomenis

Beveik visi išpirkos reikalaujantys virusai yra užprogramuoti ištrinti šešėlines tūrio kopijas ir automatinę atsarginę sistemą, kurią naudoja Windows. Nepaisant to, ši funkcija gali sugesti arba būti praleista. Įrankiai, tokie kaip ShadowExplorer, idealiai tinka tokiems scenarijams ir greičiausiai turėtų atkurti .Nesa failus.

• Diegti ShadowExplorer [nuoroda]
• pasirinkite diską ir aplanką, kurį norite atkurti
• Dešiniuoju pelės mygtuku spustelėkite ir pasirinkite Eksportuoti Nesa kartais gali būti iššifruota naudojant ShadowExplorer

4 veiksmas. Išbandykite integruotą ankstesnių versijų funkciją

„Windows“ ankstesnių versijų funkcija lengva naudotis ir jai nereikia jokių išorinių programų. Tačiau jo trūkumas yra tas, kad jis veikia tik tuo atveju, jei sistemos atkūrimas buvo įjungtas prieš išpirkos reikalaujančios programos ataką ir vienu metu galima atkurti tik vieną kartą. Nepaisant to, turėtumėte išbandyti ir šį metodą:

• Eikite į aplanką, kuriame yra užrakinti failai
• Dešiniuoju pelės mygtuku spustelėkite failą ir pasirinkite Atkurti ankstesnes versijas
• Pasirinkite versiją, kurią norite atkurti, ir pasirinkite Atkurti Pasinaudokite ankstesnių „Windows“ versijų funkcija

Pasirenkama: išbandykite „Dr. Web Rescue Pack“ paslaugą

„Dr. Web“ yra vienas iš antivirusinių programų kūrėjų, nuo pat pradžių labai įsitraukęs į SROP/Djvu išpirkos reikalaujančią programinę įrangą pradžioje – mokslininkai sukūrė veikiantį iššifravimą .DATAWAIT, .DATASTOP ir panašioms versijoms. virusas. Tačiau, kaip ir tikėtasi, įsilaužėliai greitai sukūrė naujus variantus, kuriems įrankis nebeveikė.

Nepaisant to, Dr. Web pasiūlė aukoms pagalbą mainais už tam tikrą mokėjimo sumą. Be jokios abejonės, įmonė prašo daug mažiau nei išpirkos reikalaujančių programų kūrėjai (Gelbėjimo paketas kainuoja 150 eurų), ir jie nėra nusikaltėliai. Taigi, jei pasirenkate mokėti, verčiau rinkitės Dr. Web, o ne sukčius. Pastaba: gali būti, kad Dr. Web gali iššifruoti ne visus failus. Norėdami sužinoti daugiau, susisiekite su ja.

Galite rasti visas detales čia ir taip pat kreiptis dėl paslaugos. Atminkite, kad jei buvote įdiegę „Dr. Web“ programinę įrangą, kai užsikrėtėte „Nesa“ išpirkos reikalaujančia programa, paslauga yra visiškai nemokama.

Jokie atkūrimo metodai nepadėjo? Nepanikuokite…

Nesa ransomware yra gana niokojanti infekcija, nes ji gali visam laikui prarasti failus, kuriuos sudaro ne tik darbo valandos, bet ir sentimentali vertė. Todėl kai kurie vartotojai gali nematyti kitos išeities, kaip tik mokėti kibernetiniams nusikaltėliams, kad jie grąžintų brangius failus. Tačiau prieš tai darydami atminkite, kad saugumo tyrinėtojai nuolat kuria alternatyvius įrankius, kurie kai kuriais atvejais gali padėti vartotojams. Galite pabandyti naudoti šis įrankis, nors .nesa versija dar nebuvo pridėta, nors ateityje ji greičiausiai pasikeis.

Galiausiai, jei neturite galimybių ir labai norite atkurti failus, mokėkite kibernetiniams nusikaltėliams. Tačiau darykite tai savo rizika, nes nėra garantijos, kad „Nesa“ išpirkos reikalaujančių programų iššifravimo priemonę gausite iš kenkėjiškų programų autorių.

Automatiškai atkurkite failus ir kitus sistemos komponentus

Norėdami atkurti failus ir kitus sistemos komponentus, galite naudoti nemokamus ugetfix.com ekspertų vadovus. Tačiau jei manote, kad neturite pakankamai patirties, kad galėtumėte patys įgyvendinti visą atkūrimo procesą, rekomenduojame naudoti toliau nurodytus atkūrimo sprendimus. Mes išbandėme kiekvieną iš šių programų ir jų efektyvumą, todėl tereikia leisti šiems įrankiams atlikti visą darbą.

Reimage – patentuota specializuota Windows taisymo programa. Jis diagnozuos jūsų sugadintą kompiuterį. Jis nuskaitys visus sistemos failus, DLL ir registro raktus, kuriuos sugadino saugumo grėsmės.Reimage – patentuota specializuota Mac OS X taisymo programa. Jis diagnozuos jūsų sugadintą kompiuterį. Jis nuskaitys visus sistemos failus ir registro raktus, kuriuos sugadino saugumo grėsmės.
Šiame patentuotame taisymo procese naudojama 25 milijonų komponentų duomenų bazė, kuri gali pakeisti bet kokį pažeistą ar trūkstamą failą vartotojo kompiuteryje.
Norėdami taisyti sugadintą sistemą, turite įsigyti licencijuotą versiją Reimage kenkėjiškų programų pašalinimo įrankis.

paspauskite