Elimină virusul Nemucod-AES (Ghid de înlăturare) - Tutorial
Ghid de înlăturare a viruşilor Nemucod-AES
Ce este Virusul de tip ransomware Nemucod-AES?
Ransomware-ul Nemucod-AES ia ostatice fişierele victimelor pentru a cere recompensă
Ransomware-ul Nemucod-AES este un virus de criptare date, care şi-a câştigat titlul infiltrându-se în calculatoare, făcând fişierele ilizible cu ajutorul algoritmilor de criptare AES-128 şi RSA-2048, şi cerând 0.11471 Bitcoins în schimbul decriptării acestora.
Criminalii au ales în mod special criptomoneda ca şi mijloc de plată. Această metodă garantează anonimatul tranzacţiilor cu bani şi permite escrocilor să scape de urmărire.
Din acest motiv nu veţi avea parte de justiţie dacă hackerii dispar cu banii dumneavoastră după ce plătiţi pentru cheia de recuperare a datelor. Acest motiv ar trebui să fie suficient pentru a-l elimina pe Nemucod-AES din PC decât să colaboraţi cu criminalii.
Ca şi majoritatea ransomware-urilor, dezvoltatorii acestui virus lasă o notă de recompensă în care se precizează condiţiile de recuperare ale datelor şi instrucţiuni pentru victime de unde ar trebui să cumpere şi cum să transfere recompensa. Aici aveţi un fişier de tip Decrypt.hta:
ATENŢIE!
4. Deschide unul dintre următoarele link-uri în browserul tău:
Toate documentele, pozele, bazele de date şi alte fişiere personale şi importante au fost criptate folosind o combinaţie puternică dintre algoritmii RSA-2048 şi AES-128.
Singurul mod de restaurare a fişierelor este prin cumpărarea decriptorului. Te rugăm să urmezi aceşti paşi:
1. Crează-ţi aici portofelul Bitcoin:
xxxxs://blockchain.info/wallet/new
2. Cumpără aici 0.11471 bitcoins:
https://localbitcoins.com/buy_bitcoins
3. Trimite 0.11471 bitcoins la această adresă:
xxxx://elita5.md/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://artdecorfashion.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://goldwingclub.ru/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://perdasbasalti.it/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
xxxx://natiwa.com/counter/71GCn9vz73FNDmoVxgxXqjo7dSXyLmfnTDt
5. Descarcă şi rulează decriptorul pentru a restaura fişierele.
Poţi găsi această instrucţiune în fişierul „DECRYPT” de pe ecran.
Notele de recompensă pot spune multe despre dezvoltatorii de ransomware, audienţa ţintită, şi adevăratele lor intenţii. În acest caz, trebuie să recunoaştem că nota este creată în mod profesional şi detaliată, deci cel mai probabil, hackerii din spatele ei sunt englezi nativi şi suficient de serioşi încât să nu lase greşeli de scriere sau gramaticale în aceasta.
Cel mai probabil şi audienţa ţintită de către ransomware este cea din Anglia, cu toate că nu ar trebui să oprească virusul din a ataca şi alte ţări din Europa, precum Germania sau Elveţia .
Indiferent de locul în care atacă virusul, primul lucru pe care ar trebui să îl facă proprietarul unui calculator infectat este să efectueze eliminarea lui Nemucod-AES.
Decriptarea gratuită a fişierelor criptate de ransomware-ul Nemucod-AES
Victimele care au avut fişierele compromise de către acest ransomware pot folosi un decriptor Nemucod-AES gratuit care poate restaura toate datele. Decriptorul a fost creat cu succes de către cercetătorii de la Emsisoft pe data de 12 iulie, 2017.
Deci dacă PC-ul a fost lovit de către ransomware-ul discutat, şi ezitaţi dacă să plătiţi sau nu recompensa, uitaţi de ea. Vă puteţi restaura fişierele fără a plăti un leu. Pentru a găsi instrucţiunile de decriptare, uitaţi-vă la secţiunea de mai jos pentru recuperare date.
Cel mai important lucru este să decontaminaţi virusul şi să preveniţi alte avarii asupra sistemului. Folosiţi decriptorul doar după ce eliminaţi virusul din sistemul calculatorului.
Ransomware-ul este distribuit prin intermediul spamului UPS fraudulos
Există mai multe moduri prin care ransomware-ul Nemucod-AES se poate răspândi pe web. Unii dintre vectorii principali pot fi:
- descărcări compromise,
- actualizări false de software,
- reclame înşelătoare,
- kituri de exploatare.
Chiar şi aşa, cea mai predominantă metodă a campaniei de distribuţie a lui Nemucod-AES este reprezentată de către email-urile spam deghizate ca şi note ale serviciului UPS. În cele două probe de email-uri spam examinate, experţii au descoperit fişiere numite UPS ground-Delivery-005156577.doc.js şi UPS ground-Receipt-4424638.doc.js, iar ambele conţineau cod JavaScript maliţios imitând fişierele Word normale.
Vă rugăm să reţineţi această tehnică de distribuţie înşelătoare data viitoare când vă verificaţi email-urile. Nu le descărcaţi, sau să nu mai precizăm, deschideţi ataşamentele care ar fi putut fi trimise de către expeditori necunoscuţi, deoarece este posibil să permiteţi accesul unui ransomware vicios în PC-ul dumneavoastră.
Sugestii pentru eliminarea lui Nemucod-AES
Dacă aţi observat că nu mai aveţi acces la fişiere şi vedeţi o notă de recompensă care cere bani pentru recuperarea lor, nu ar trebui să staţi pe gânduri şi începeţi imediat procedura de eliminare a lui Nemucod-AES.
Vă recomandăm să profitaţi de utilităţile specializate, precum FortectIntego sau Malwarebytes, să vă scanaţi automat calculatorul şi să localizaţi toate componentele rele care s-ar fi putut împrăştia prin sistemul dumneavoastră.
Eliminarea automată durează doar câteva minute, dacă ransomware-ul nu încearcă să blocheze utilitatea de securitate şi să prevină exterminarea.
Chiar dacă blochează aceste utilităţi, puteţi urma instrucţiunile de decontaminare ale virusului de mai jos, şi să ajutaţi anti-virusul să elimine Nemucod-AES din PC.
Manual de înlăturare a virusului Nemucod-AES
Înlăturaţi Nemucod-AES utilizând Safe Mode with Networking
Aici puteţi învăţa cum să decontaminaţi virusul fără unelte extra. Însă nu uitaţi să vă scanaţi dispozitivul cu o unealtă de securitate sofisticată imediat după ce aţi terminat aceşti paşi:
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Networking
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
- Select Safe Mode with Networking from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
- Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Networking din fereastra Startup Settings.
-
Pasul 2: Înlătură Nemucod-AES
Autentificaţi-vă în contul infectat şi porniţi browserul. Descărcaţi FortectIntego sau un alt program anti-spyware sigur. Actualizaţi-l după care efectuaţi o scanare completă a sistemului şi înlăturaţi fişierele maliţioase care aparţin ransomware-ului şi finalizaţi înlăturarea lui Nemucod-AES.
În cazul în care ransomware-ul blockează Safe Mode with Networking, încercaţi următoarea metodă.
Înlăturaţi Nemucod-AES utilizând System Restore
Dacă metoda descrisă mai sus nu vă ajută la rularea antivirusului, ar trebui să încercaţi următoarea operaţie:
-
Pasul 1: Reporniţi calculatorul pentru a Safe Mode with Command Prompt
Windows 7 / Vista / XP- Apăsaţi Start → Shutdown → Restart → OK.
- Atunci când calculatorul dumneavoastră devine activ, începeţi apăsând de mai multe ori pe F8 până când observaţi fereastra Advanced Boot Options
- Select Command Prompt from the list
Windows 10 / Windows 8- Apăsaţi butonul Power de pe ecranul de autentificare Windows. Acum ţineţi apăsat pe Shift, care se află pe tastatura dumneavoastră, şi apăsaţi pe Restart..
- Acum selectaţi Troubleshoot → Advanced options → Startup Settings şi în final apăsaţi pe Restart.
- Imediat după ce calculatorul dumneavoastră devine activ, selectaţi Enable Safe Mode with Command Prompt din fereastra Startup Settings.
-
Pasul 2: Resetaţi fişierele şi setările sistemului
- Imediat ce apare fereastra Command Prompt, introduceţi cd restore şi apăsaţi pe Enter.
- Acum tastaţi rstrui.exe şi apăsaţi din nou pe Enter..
- Când apare o fereastră nouă, apăsaţi pe Next şi selectaţi punctul de restaurare care este înaintea infiltrării lui Nemucod-AES. După ce veţi face acest lucru, apăsaţi Next.
- Acum apăsaţi pe Yes pentru a începe restaurarea sistemului.
Bonus: Recuperaţi-vă datele
Ghidul prezentat mai sus v-ar putea ajuta să eliminaţi Nemucod-AES din calculatorul dumneavoastră. Pentru a vă recupera fişierele criptate, vă recomandăm să utilizaţi un ghid mai detaliat pregătit de către experţii noştri din securitate, faravirus.ro.Dacă fişierele dumneavoastră au fost criptate de către Nemucod-AES, puteţi utiliza diverse metode pentru a le recupera:
Recuperaţi datele criptate folosind Data recovery pro
Mai jos, vă explicăm cum să folosiţi Data Recovery Pro şi cum să recuperaţi câteva din datele pierdute.
- Descărcare Data Recovery Pro;
- Urmaţi paşii din setările Data Recovery şi instalaţi programul în calculatorul dumneavoastră;
- Lansaţi-l şi scanaţi-vă calculatorul pentru fişierele criptate de către ransomware-ul Nemucod-AES;
- Recuperaţi-le.
Recuperarea fişierelor criptate folosind funcţia Windows Previous Versions
Ghidul pentru funcţia Windows Previous Versions este dat mai jos
- Căutaţi un fişier criptat pe care doriţi să îl recuperaţi şi apăsaţi dreapta pe el;
- Selectaţi “Properties” şi mergeţi la fereastra “Previous versions”;
- Aici, verificaţi fiecare copie disponibilă a fişierelui în “Folder versions”. Ar trebui să selectaţi versiunea pe care doriţi să o recuperaţi şi apăsaţi “Restore”.
Angajarea lui Shadow Explorer pentru recuperarea datelor
Shadow Explorer este o metodă ce cu siguranţă trebuie încercată dacă virusul nu a distrus Volume Shadow Copies ale fişierelor dumneavoastră
- Descarcă Shadow Explorer (http://shadowexplorer.com/);
- Urmaţi setarea de instalare Shadow Explorer şi instalaţi această aplicaţie în calculatorul dumneavoastră.
- Lansaţi programul şi treceţi prin meniul sus-jos din colţul stânga sus pentru a selecta diskul cu datele criptate. Verificaţi ce dosare se află acolo.
- Apăsaţi dreapta pe dosarul pe care doriţi să îl recuperaţi şi selectaţi “Export”. De asemenea, puteţi selecta locul unde doriţi să îl stocaţi.
Folosiţi decriptorul NemucodAES
Descărcaţi decriptorul NemucodAES (de la Emsisoft) şi lansaţi fişierul executabil. Imediat după ce apare fereastra User Account Control, apăsaţi Yes. Acum, trebuie să aveţi răbdare deoarece decriptorul poate avea nevoie de două ore pentru a verifica sistemul calculatorului. Unealta de decriptare va afişa un mesaj imediat după ce găseşte toate fişierele. Apăsaţi OK şi după apăsaţi butonul Decrypt din aplicaţia Emsisoft Decrypter. Aşteptaţi până când decriptează toate fişierele.
Imediat după ce procedura este finalizată, ştergeţi copiile fişierelor criptate din sistem.
În final, ar trebui să luaţi în considerare tot timpul protecţia împotriva cripto-ransomware-urilor. Pentru a vă proteja calculatorul de Nemucod-AES precum şi de alte ransomware-uri, utilizaţi un anti-spyware bun, precum FortectIntego, SpyHunter 5Combo Cleaner sau Malwarebytes.