Cum să recuperați fișierele criptate de Nesa ransomware?

Întrebare

Problemă: Cum să recuperați fișierele criptate de Nesa ransomware?

Salut, sunt infectat cu un virus. Imaginile, videoclipurile, documentele și alte fișiere mele sunt toate inutilizabile. Nu le pot deschide în niciun fel! Pictogramele s-au schimbat în altele goale, iar fiecare fișier are .nesa în loc de .jpg, .pdf și altele. Cum îmi recuperez fișierele înapoi? Vă rog să mă ajutați!

Răspuns rezolvat

Nesa ransomware este cea mai nouă versiune a STOP/Djvu familia de ransomware. De la lansarea sa în decembrie 2017, variantele acestei tulpini de malware au fost lansate de peste 150 de ori. Cu toate acestea, versiunile de frecvență nu sunt singura caracteristică care face această familie atât de devastatoare - infractorii cibernetici în spatele acestuia lucrează din greu la implementarea de noi funcții și la extinderea operațiunilor prin utilizarea unei distribuții sofisticate tehnici.

La fel ca multe versiuni anterioare STOP/Djvu, ransomware-ul Nesa poate fi distribuit într-o serie de metode diferite, inclusiv kituri de exploatare, pachete de adware,^[1] Desktop la distanță neprotejat^[2] conexiuni, actualizări false, site-uri piratate, descărcări drive-by, e-mailuri spam etc. Utilizarea mai multor vectori de distribuție crește șansa ca mai mulți utilizatori să fie infectați cu virusul Nesa, crescând în consecință rata la care infractorii pot fi plătiți.

Nesa ransomware este cripto-malware, așa că scopul său principal este de a bloca toate imaginile, documentele, PDF-urile și alte fișiere personale cu ajutorul unui algoritm de criptare asimetric. În acest fel, malware-ul împiedică victimele să acceseze toate datele aflate pe computer, împreună cu orice stocare sau rețele conectate.

Recuperați fișierele criptate de .nesa

Deși s-ar putea spune că fișierele au fost corupte, nu este cazul - extensia de fișier .nesa servește ca o lacăt, care are nevoie de o cheie pentru a fi deschisă. Cheia se află în posesia unor actori rău intenționați din spatele virusului și este păstrată pe o telecomandă și control.^[3] Server.

Utilizatorii sunt de obicei informați prin nota de răscumpărare _readme.txt despre situație și explică că, dacă doresc să recupereze instrumentul de decriptare, trebuie să plătească Bitcoin în valoare de 980 USD ca răscumpărare, deși hackerii susțin că utilizatorii sunt eligibili pentru o reducere de 50% dacă îi contactează pe escroci prin [email protected] sau [email protected] e-mailuri și sunteți de acord să transferați banii.

Cu toate acestea, experții în securitate recomandă să nu plătiți răscumpărarea, deoarece hackerii ar putea să nu trimită niciodată decriptorul Nesa necesar, chiar și după efectuarea plății. În plus, recompensarea infractorilor cibernetici pentru faptele lor rău intenționate ar încuraja doar să producă o versiune nouă și îmbunătățită a virusului. Cu alte cuvinte, plătindu-le, utilizatorii alimentează nevoia de a crea mai multe programe malware și de a infecta mai multe victime, motiv pentru care ransomware-ul este unul dintre cele mai importante tipuri de malware în sălbăticie.

În schimb, ar trebui să eliminați ransomware-ul Nesa cu ajutorul unui software de securitate precum ReimagineazăMacina de spalat rufe X9 (Fiți conștient de faptul că, din cauza variantelor de versiune în continuă schimbare și îmbunătățite, eliminarea poate necesita o scanare cu mai multe instrumente anti-malware) și apoi utilizați metode alternative pentru a recupera fișierele criptate de Nesa ransomware.

Cum se decriptează fișierele .nesa?

Obținut pentru prima dată de cercetarea de securitate Michael Gillespie,^[4] Ransomware-ul Nesa a apărut la sfârșitul lunii septembrie 2019. De asemenea, aparține noului val de versiuni STOP care utilizează un mod îmbunătățit de criptare a fișierelor. În plus, malware-ul elimină și un nou modul care este capabil să colecteze informații personale despre utilizatori, ceea ce duce la pierderi de date sensibile și bani.

O altă caracteristică a virusului Nesa este capacitatea sa de a modifica fișierul Windows hosts. Această modificare asigură că utilizatorii nu pot căuta ajutor pe site-urile web axate pe securitate. Cu toate acestea, toate aceste modificări sunt reversibile cu ajutorul eliminării ransomware-ului Nesa - vă explicăm mai jos cum să faceți acest lucru.

Nota de răscumpărare _readme.txt este plasată în fiecare dintre folderele afectate

Ceea ce nu este reversibil sunt însă fișierele. Chiar și după terminarea infecțiilor, victimele nu își vor putea vizualiza fișierele și vor rămâne blocate. Această caracteristică, în special, este ceea ce face ca ransomware-ul să fie atât de devastator – poate duce la pierderea permanentă a datelor.

După cum am afirmat anterior, plata răscumpărării este destul de riscantă și majoritatea experților sfătuiesc să nu o facă. Deși recuperarea fișierelor blocate .nesa în alte moduri ar putea să nu fie posibilă, există încă șanse ca acestea să ajute, sau, cel puțin, parțial. În secțiunea următoare, oferim instrucțiuni detaliate despre cum să eliminați ransomware-ul Nesa și despre cum să încercați recuperarea fișierelor folosind metode alternative.

Pasul 1. Eliminați ransomware-ul Nesa de pe computer

Vă descurajăm foarte mult să încercați să eliminați manual ransomware-ul, deoarece amenințarea face sute de modificări la computer, iar revenirea acestora ar necesita cunoștințe IT profesionale. În schimb, ar trebui să utilizați un software puternic anti-malware și să efectuați o scanare completă a sistemului cu acesta - ar trebui să ștergeți automat infecția.

Cu toate acestea, ransomware-ul Nesa ar putea modifica instrumentul anti-malware. Într-un astfel de caz, ar trebui să accesați Safe Mode with Networking și să efectuați scanarea de acolo:

• Faceți clic dreapta pe start butonul și selectați Setări
• Mergi la Actualizare și securitate secțiune și alege Recuperare
• Găsi Pornire avansată și faceți clic pe Reporniți acum (notă: acest testament imediat reporniți computerul) Ar trebui să accesați modul sigur cu rețea dacă metoda obișnuită nu funcționează pentru dvs
• Apoi, selectați următoarea cale: Depanare > Opțiuni avansate > Setări de pornire și faceți clic Repornire
• După repornire, apăsați F5 sau 5 a ajunge Modul sigur in navigare pe internet

Efectuați o scanare completă a sistemului cu software anti-malware. După aceea, ar trebui să mergeți pe următoarea cale:

C:\\Windows\\System32\\drivers\\etc

Odată ajuns acolo, găsiți un fișier numit hosts. Faceți clic dreapta pe el și apăsați Șterge. Goliți-vă Cos de gunoi după aceea. Odată ce ștergeți fișierul gazdă, veți opri restricțiile care au fost stabilite de atacatori

Pasul 2. Încercați să utilizați Data Recovery Pro pentru fișierele blocate .nesa

În funcție de cât de mult ați folosit computerul după infectarea cu Nesa, Data Recovery Pro vă poate ajuta sau nu cu recuperarea (parțială). Cu toate acestea, ar trebui să îl încercați, deoarece este unul dintre cele mai bune instrumente de recuperare de pe piață astăzi:

• Începeți cu descărcarea Data Recovery Pro [legătură]
• Utilizați instrucțiunile de pe ecran pentru a instala aplicația. După ce ați terminat, faceți dublu clic pe Data Recovery Pro comandă rapidă de pe desktop să-l deschidă
• Selectați Opțiune de scanare completă și faceți clic pe Incepe scanarea (puteți căuta și fișiere individuale pe baza cuvintelor cheie)
• După ce scanarea se termină, vedeți dacă vreunul dintre fișierele dvs. a fost recuperat. Dacă da, dați clic pe Recupera pentru a le recupera Utilizați Data Recovery Pro

Pasul 3. ShadowExplorer ar putea să vă restaureze toate datele

Aproape toți virușii ransomware sunt programați pentru a șterge Shadow Volume Copies – și sistemul de backup automat utilizat de Windows. Cu toate acestea, această funcție poate eșua sau poate fi omisă. Instrumente precum ShadowExplorer sunt ideale pentru astfel de scenarii și, cel mai probabil, ar trebui să poată recupera fișierele .Nesa.

• Instalare ShadowExplorer [legătură]
• alegeți unitatea și folderul pe care doriți să îl recuperați
• Faceți clic dreapta și selectați Export Nesa poate fi uneori decriptat cu ShadowExplorer

Pasul 4. Încercați o funcție încorporată pentru versiunile anterioare

Funcția Windows Versiuni anterioare este ușor de utilizat și nu necesită niciun program extern. Cu toate acestea, dezavantajul este că funcționează numai dacă Restaurarea sistemului a fost activată înainte de atacul ransomware și doar o singură dată la un moment dat poate fi recuperată. Cu toate acestea, ar trebui să încercați și această metodă:

• Accesați folderul în care se află fișierele blocate
• Faceți clic dreapta pe fișier și alegeți Restaurează versiunile anterioare
• Selectați versiunea în care doriți să o restaurați și alegeți-o Restabili Utilizați caracteristica Versiunile anterioare de Windows

Opțional: Încercați serviciul pachet Dr. Web Rescue

Dr. Web este unul dintre producătorii de antivirus care a fost profund implicat în ransomware-ul SROP/Djvu încă din început – cercetătorii au dezvoltat decriptare de lucru pentru .DATAWAIT, .DATASTOP și versiuni similare ale virus. Cu toate acestea, așa cum era de așteptat, hackerii s-au grăbit să dezvolte noi variante pentru care instrumentul nu a mai funcționat.

Cu toate acestea, Dr. Web a oferit ajutor victimelor în schimbul unei anumite sume de plată. Fără îndoială, firma cere mult mai puțin decât dezvoltatorii de ransomware (Pachetul de salvare costă 150 EUR), și nu sunt criminali. Deci, dacă optați pentru plata, alegeți mai degrabă Dr. Web în loc de escroci. Notă: Este posibil ca nu toate fișierele să poată fi decriptate de Dr. Web, vă rugăm să le contactați pentru a afla mai multe.

Puteți găsi toate detaliile Aici și aplicați, de asemenea, pentru serviciu. Rețineți că, dacă ați instalat software-ul Dr. Web în timpul infectării cu ransomware Nesa, serviciul este complet gratuit.

Nicio metodă de recuperare nu a ajutat? Nu intrați în panică…

Ransomware-ul Nesa este o infecție destul de devastatoare, deoarece ar putea duce la pierderea permanentă a fișierelor care nu constau doar în ore de muncă, ci și au valoare sentimentală. Prin urmare, unii utilizatori ar putea să nu vadă altă opțiune decât să plătească infractorii cibernetici pentru a-și returna fișierele prețioase. Înainte de a face acest lucru, totuși, ar trebui să rețineți că cercetătorii de securitate lucrează în mod constant la instrumente alternative care ar putea ajuta utilizatorii în unele cazuri. Puteți încerca să utilizați acest instrument, deși versiunea .nesa nu a fost adăugată încă, deși probabil se va schimba în viitor.

În cele din urmă, dacă nu aveți opțiuni și sunteți disperat să vă recuperați fișierele, mergeți mai departe și plătiți infractorii cibernetici. Cu toate acestea, faceți-o pe propriul risc, deoarece nu există nicio garanție că obțineți decriptorul ransomware Nesa de la autorii de malware.

Recuperați automat fișierele și alte componente ale sistemului

Pentru a vă recupera fișierele și alte componente ale sistemului, puteți utiliza ghiduri gratuite ale experților ugetfix.com. Cu toate acestea, dacă simțiți că nu aveți suficientă experiență pentru a implementa singur întregul proces de recuperare, vă recomandăm să utilizați soluțiile de recuperare enumerate mai jos. Am testat fiecare dintre aceste programe și eficiența lor pentru dvs., așa că tot ce trebuie să faceți este să lăsați aceste instrumente să facă toată treaba.

Reimage - un program specializat de reparații Windows brevetat. Acesta vă va diagnostica computerul deteriorat. Acesta va scana toate fișierele de sistem, DLL-urile și cheile de registry care au fost deteriorate de amenințările de securitate.Reimage - un program specializat patentat de reparații Mac OS X. Acesta va diagnostica computerul deteriorat. Acesta va scana toate fișierele de sistem și cheile de registry care au fost deteriorate de amenințările de securitate.
Acest proces de reparare patentat folosește o bază de date de 25 de milioane de componente care pot înlocui orice fișier deteriorat sau lipsă de pe computerul utilizatorului.
Pentru a repara sistemul deteriorat, trebuie să achiziționați versiunea licențiată a Reimaginează instrument de eliminare a programelor malware.

presa