Kā atgūt Nesa ransomware šifrētos failus?

Jautājums

Problēma: kā atgūt Nesa ransomware šifrētos failus?

Sveiki, esmu inficējies ar vīrusu. Mani attēli, video, dokumenti un citi faili nav lietojami. Es nekādā veidā nevaru tās atvērt! Ikonas ir mainītas uz tukšām, un katrā failā ir .nesa, nevis .jpg, .pdf un citi. Kā es varu atgūt savus failus atpakaļ? Lūdzu palīdzi man!

Atrisināta atbilde

Nesa ransomware ir jaunākā versija

STOP/Djvu ransomware ģimene. Kopš tā izlaišanas 2017. gada decembrī šīs ļaunprātīgās programmatūras celma varianti ir izlaisti vairāk nekā 150 reižu. Tomēr frekvenču versiju izlaidumi nav vienīgā iezīme, kas padara šo ģimeni tik postošu – kibernoziedznieki aiz tā cītīgi strādā, lai ieviestu jaunas funkcijas un paplašinātu darbības, izmantojot sarežģītu izplatīšanu metodes.

Tāpat kā daudzas iepriekšējās STOP/Djvu versijas, Nesa izspiedējvīrusu var izplatīt ar dažādām metodēm, tostarp ekspluatācijas komplektiem, reklāmprogrammatūras komplektiem,^[1] neaizsargāta attālā darbvirsma^[2] savienojumi, viltus atjauninājumi, uzlauztas vietnes, īslaicīgas lejupielādes, surogātpasta e-pasta ziņojumi utt. Izmantojot vairākus izplatīšanas vektorus, palielinās iespēja, ka vairāk lietotāju tiks inficēti ar Nesa vīrusu, tādējādi palielinot noziedznieku atalgojumu.

Nesa ransomware ir kripto-ļaunprātīga programmatūra, tāpēc tās galvenais mērķis ir bloķēt visus attēlus, dokumentus, PDF un citus personiskos failus ar asimetriskas šifrēšanas algoritma palīdzību. Tādā veidā ļaunprogrammatūra neļauj upuriem piekļūt visiem datorā esošajiem datiem, kā arī pievienotajām krātuvēm vai tīkliem.

Atkopt failus, kas šifrēti ar .nesa

Lai gan varētu teikt, ka faili ir bojāti, tas tā nav – .nesa faila paplašinājums kalpo kā slēdzene, kuras atvēršanai ir nepieciešama atslēga. Atslēga atrodas vīrusa ļaunprātīgu dalībnieku īpašumā, un tā tiek glabāta attālajā Command & Control.^[3] serveris.

Lietotāji parasti tiek informēti par situāciju, izmantojot izpirkuma piezīmi _readme.txt, un paskaidro, ka, ja viņi vēlas izgūt atšifrēšanas rīku, viņiem ir jāsamaksā 980 USD vērta Bitcoin kā izpirkuma maksa, lai gan hakeri apgalvo, ka lietotājiem ir tiesības uz 50% atlaidi, ja viņi sazinās ar krāpniekiem, izmantojot [aizsargāts ar e-pastu] vai [aizsargāts ar e-pastu] e-pastiem un piekrītu pārskaitīt naudu.

Tomēr drošības eksperti iesaka nemaksāt izpirkuma maksu, jo hakeri, iespējams, nekad nenosūtīs nepieciešamo Nesa atšifrētāju pat pēc maksājuma veikšanas. Turklāt, atalgojot kibernoziedzniekus par viņu ļaunprātīgajiem darbiem, viņi tikai mudinātu viņus radīt jaunu un uzlabotu vīrusa versiju. Citiem vārdiem sakot, maksājot viņiem, lietotāji veicina vajadzību radīt vairāk ļaunprātīgas programmatūras un inficēt vairāk upuru, tāpēc izpirkuma programmatūra ir viens no vadošajiem ļaunprātīgas programmatūras veidiem savvaļā.

Tā vietā jums vajadzētu noņemt Nesa ransomware, izmantojot tādu drošības programmatūru kā ReimageMac veļas mašīna X9 (Ņemiet vērā, ka nepārtraukti mainīgo un uzlaboto versiju variantu dēļ noņemšanai var būt nepieciešama skenēšana ar vairākus pretļaundabīgo programmu rīkus) un pēc tam izmantojiet alternatīvas metodes, lai atgūtu Nesa ransomware šifrētos failus.

Kā atšifrēt .nesa failus?

Pirmo reizi pamanīja drošības izpēte Maikls Gilespijs,^[4] Nesa ransomware parādījās 2019. gada septembra beigās. Tas pieder arī jaunajam STOP versiju vilnim, kas izmanto uzlabotu failu šifrēšanas veidu. Turklāt ļaunprogrammatūra izlaiž arī jaunu moduli, kas spēj ievākt lietotāja personisko informāciju, tādējādi radot sensitīvus datus un naudas zaudējumus.

Vēl viena Nesa vīrusa iezīme ir tā spēja modificēt Windows hosts failu. Šīs izmaiņas nodrošina, ka lietotāji nevar meklēt palīdzību vietnēs, kas ir vērstas uz drošību. Tomēr visas šīs izmaiņas ir atgriezeniskas, izmantojot Nesa ransomware likvidēšanu – kā to izdarīt, mēs paskaidrosim tālāk.

Izpirkuma piezīme _readme.txt tiek ievietota katrā no ietekmētajām mapēm

Tomēr tas, kas nav atgriezenisks, ir faili. Pat pēc infekciju pārtraukšanas upuri nevarēs skatīt savus failus, un tie paliks bloķēti. Jo īpaši šī funkcija padara izspiedējvīrusu tik postošu — tas var izraisīt neatgriezenisku datu zudumu.

Kā jau iepriekš minējām, izpirkuma maksas maksāšana ir riskanti, un lielākā daļa ekspertu iesaka to nedarīt. Lai gan .nesa bloķēto failu izgūšana citos veidos var nebūt iespējama, joprojām pastāv iespēja, ka tie palīdzēs vai vismaz daļēji. Nākamajā sadaļā mēs sniegsim detalizētus norādījumus par to, kā noņemt Nesa ransomware un kā mēģināt failu atkopšanu, izmantojot alternatīvas metodes.

1. darbība. Noņemiet Nesa ransomware no sava datora

Mēs ļoti neiesakām jūs mēģināt manuāli novērst izspiedējprogrammatūru, jo draudi datorā rada simtiem izmaiņu, un to atjaunošanai būtu nepieciešamas profesionālas IT zināšanas. Tā vietā jums vajadzētu izmantot jaudīgu pretļaundabīgo programmu programmatūru un ar to veikt pilnu sistēmas skenēšanu — tai automātiski jāizdzēš infekcija.

Tomēr Nesa ransomware var manipulēt ar ļaunprātīgas programmatūras apkarošanas rīku. Šādā gadījumā jums vajadzētu piekļūt drošajam režīmam ar tīklu un veikt skenēšanu no turienes:

• Ar peles labo pogu noklikšķiniet uz Sākt pogu un atlasiet Iestatījumi
• Iet uz Atjaunināšana un drošība sadaļu un izvēlieties Atveseļošanās
• Atrast Uzlabota palaišana un noklikšķiniet uz Restartēt tagad (piezīme: tas būs nekavējoties restartējiet datoru) Ja parastā metode jums neder, jums vajadzētu piekļūt drošajam režīmam ar tīklu
• Pēc tam atlasiet šādu ceļu: Problēmu novēršana > Papildu opcijas > Startēšanas iestatījumi un noklikšķiniet Restartēt
• Pēc atsāknēšanas nospiediet pogu F5 vai 5 lai sasniegtu Drošais režīms ar tīklu

Veiciet pilnu sistēmas skenēšanu, izmantojot pretļaunatūras programmatūru. Pēc tam jums vajadzētu doties uz šādu ceļu:

C: \\ Windows \\ System32 \\ draiveri \\ utt

Kad esat tur, atrodiet failu ar nosaukumu hosts. Ar peles labo pogu noklikšķiniet uz tā un nospiediet Dzēst. Iztukšojiet savu Atkritne pēc tam. Kad izdzēsīsit resursdatora failu, jūs apturēsit uzbrucēju noteiktos ierobežojumus

2. darbība. Mēģiniet izmantot Data Recovery Pro .nesa bloķētiem failiem

Atkarībā no tā, cik daudz izmantojāt datoru pēc Nesa inficēšanās, Data Recovery Pro var palīdzēt (daļēja) atkopšanā vai arī nepalīdzēt. Tomēr jums tas ir jāizmēģina, jo tas ir viens no labākajiem atkopšanas rīkiem mūsdienu tirgū:

• Sāciet ar lejupielādi Data Recovery Pro [saite]
• Lai instalētu lietojumprogrammu, izmantojiet ekrānā redzamos norādījumus. Kad tas ir izdarīts, veiciet dubultklikšķi uz Data Recovery Pro īsceļu uz darbvirsmas lai to atvērtu
• Izvēlieties Pilnas skenēšanas opcija un noklikšķiniet uz Sākt skenēšanu (varat arī meklēt atsevišķus failus, pamatojoties uz atslēgvārdiem)
• Kad skenēšana ir pabeigta, pārbaudiet, vai kāds no jūsu failiem ir atgūts. Ja tā, noklikšķiniet uz Atgūt lai tās atgūtu Izmantojiet programmu Data Recovery Pro

3. darbība. ShadowExplorer varētu atjaunot visus jūsu datus

Gandrīz visi izspiedējvīrusi ir ieprogrammēti, lai dzēstu Shadow Volume Copies — un automātisko dublēšanas sistēmu, ko izmanto Windows. Tomēr šī funkcija var neizdoties vai tikt izlaista. Tādi rīki kā ShadowExplorer ir ideāli piemēroti šādiem scenārijiem, un tiem, visticamāk, ir jāspēj atgūt .Nesa failus.

• Uzstādīt ShadowExplorer [saite]
• izvēlieties disku un mapi, kuru vēlaties atgūt
• Ar peles labo pogu noklikšķiniet un atlasiet Eksportēt Nesa dažreiz var atšifrēt, izmantojot ShadowExplorer

4. darbība. Izmēģiniet iebūvēto iepriekšējo versiju funkciju

Windows iepriekšējo versiju līdzeklis ir viegli lietojams, un tam nav nepieciešamas nekādas ārējas programmas. Tomēr tā trūkums ir tāds, ka tas darbojas tikai tad, ja sistēmas atjaunošana bija iespējota pirms izspiedējvīrusa uzbrukuma, un to var atgūt tikai vienu reizi. Tomēr jums vajadzētu izmēģināt arī šo metodi:

• Dodieties uz mapi, kurā atrodas bloķētie faili
• Ar peles labo pogu noklikšķiniet uz faila un izvēlieties Atjaunot iepriekšējās versijas
• Atlasiet versiju, kurā vēlaties to atjaunot, un izvēlieties Atjaunot Izmantojiet Windows iepriekšējo versiju funkciju

Pēc izvēles: izmēģiniet Dr. Web Rescue pakotnes pakalpojumu

Dr. Web ir viens no pretvīrusu ražotājiem, kas bija cieši saistīts ar SROP/Djvu izpirkuma programmatūru kopš paša sākums – pētnieki izstrādāja darba atšifrēšanu .DATAWAIT, .DATASTOP un līdzīgām versijām vīruss. Tomēr, kā gaidīts, hakeri ātri izstrādāja jaunus variantus, kuriem rīks vairs nedarbojās.

Tomēr Dr Web piedāvāja palīdzību upuriem apmaiņā pret noteiktu maksājuma summu. Bez šaubām, uzņēmums prasa daudz mazāk nekā izspiedējvīrusu izstrādātāji (Glābšanas komplekts maksā 150 eiro), un viņi nav nekādi noziedznieki. Tātad, ja izvēlaties maksāt, labāk izvēlieties Dr. Web, nevis krāpniekus. Piezīme. Iespējams, Dr. Web nevar atšifrēt visus failus. Lūdzu, sazinieties ar viņiem, lai uzzinātu vairāk.

Jūs varat atrast visu informāciju šeit un arī pieteikties pakalpojumam. Ņemiet vērā: ja Nesa ransomware inficēšanās laikā jums bija instalēta Dr. Web programmatūra, pakalpojums ir pilnīgi bez maksas.

Vai atkopšanas metodes nepalīdzēja? Nekrīti panikā…

Nesa ransomware ir diezgan postoša infekcija, jo tā var izraisīt neatgriezenisku failu zudumu, kas sastāv ne tikai no darba stundām, bet arī ar sentimentālu vērtību. Tāpēc daži lietotāji, iespējams, neredzēs citu iespēju, kā vien maksāt kibernoziedzniekiem, lai tie atdotu savus vērtīgos failus. Tomēr pirms to darāt, paturiet prātā, ka drošības pētnieki pastāvīgi strādā pie alternatīviem rīkiem, kas dažos gadījumos varētu palīdzēt lietotājiem. Varat mēģināt lietot šo rīku, lai gan .nesa versija tai vēl nav pievienota, lai gan nākotnē tā, visticamāk, mainīsies.

Visbeidzot, ja jums nav iespēju un jūs izmisīgi vēlaties izgūt failus, turpiniet un maksājiet kibernoziedzniekiem. Tomēr dariet to uz savu risku, jo nav garantijas, ka Nesa ransomware atšifrētāju iegūsit no ļaunprātīgas programmatūras autoriem.

Automātiski atkopjiet failus un citus sistēmas komponentus

Lai atkoptu failus un citus sistēmas komponentus, varat izmantot ugetfix.com ekspertu bezmaksas rokasgrāmatas. Tomēr, ja jūtat, ka neesat pietiekami pieredzējis, lai pats īstenotu visu atkopšanas procesu, iesakām izmantot tālāk norādītos atkopšanas risinājumus. Mēs esam pārbaudījuši katru no šīm programmām un to efektivitāti jūsu vietā, tāpēc viss, kas jums jādara, ir ļaut šiem rīkiem veikt visu darbu.