Ransomware SAGE 2.2: una amenaza persistente de bloqueo de archivos

Una notoria evolución del ransomware

El ransomware SAGE 2.2 es una versión evolucionada del ransomware Sage, diseñado para cifrar archivos y mantenerlos como rehenes hasta que se pague un rescate. Al igual que sus predecesores, modifica los archivos afectados añadiendo la extensión ".sage" y envía una nota de rescate con la etiqueta "!HELP_SOS.hta" para informar a las víctimas sobre el cifrado. Además de bloquear los archivos, SAGE 2.2 modifica el fondo de pantalla del escritorio para reforzar su exigencia de pago.

El ransomware cambia sistemáticamente el nombre de los archivos, por ejemplo, convierte "document.pdf" en "document.pdf.sage", etc. Esto deja claro de inmediato a las víctimas que sus datos han sido comprometidos. La nota de rescate que acompaña al ataque se presenta en formato de texto y audio. Está disponible en varios idiomas, incluidos inglés, alemán, italiano, portugués, español, francés, coreano, holandés, árabe, persa y chino.

La nota de rescate y sus instrucciones

SAGE 2.2 informa a las víctimas de que sus archivos han sido cifrados y que la única forma de recuperarlos es obteniendo la herramienta "SAGE Decrypter" junto con una clave de descifrado única. La nota advierte contra el intento de utilizar herramientas de descifrado alternativas, ya que al hacerlo se pueden dañar permanentemente los archivos. Para facilitar el pago y la comunicación, los atacantes proporcionan enlaces web donde las víctimas supuestamente pueden comprar el software de descifrado.

Si los enlaces proporcionados fallan, se les indica a las víctimas que descarguen y utilicen el navegador Tor, una herramienta que suele asociarse con la navegación web anónima. La nota de rescate también incluye pasos detallados sobre cómo acceder a los enlaces de la dark web, lo que garantiza que incluso aquellos que no estén familiarizados con Tor puedan cumplir con las exigencias de los atacantes. Además, las instrucciones se refuerzan cambiando el fondo de pantalla del escritorio, lo que dificulta que las víctimas lo ignoren.

Esto es lo que dice la nota de rescate:

File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.

This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".

Your files are not lost, it is possible to revert them back to normal state by decrypting.

The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.

Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.

You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:

If none of these links work for you, click here to update the list.

Updating links...

Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.

Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.

If you are asked for your personal key, copy it to the form on the site. This is your personal key:

-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files

If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".

In order to do that you need to:

open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.

You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.

Qué buscan los ransomware como SAGE 2.2

Los programas ransomware, incluido SAGE 2.2, existen principalmente para extorsionar a las víctimas. Al cifrar archivos cruciales y restringir el acceso, los atacantes ponen a las víctimas en una situación desesperada en la que pueden sentirse obligadas a cumplir. Sin embargo, los expertos en ciberseguridad advierten contra el pago del rescate, ya que no hay certeza de que los atacantes proporcionen una herramienta de descifrado que funcione. En muchos casos, las víctimas que pagan no recuperan sus archivos e incluso pueden volver a ser atacadas.

Dado que SAGE 2.2 puede permanecer activo y seguir cifrando nuevos archivos o propagarse por una red local, es necesario actuar de inmediato para evitar más daños. Sin una copia de seguridad válida o herramientas de descifrado de terceros, recuperar archivos suele ser imposible.

Cómo el ransomware infecta los sistemas

Los programas de ransomware como SAGE 2.2 suelen infiltrarse en los sistemas a través de métodos engañosos. Uno de los vectores de infección más comunes son los correos electrónicos fraudulentos que contienen archivos adjuntos o enlaces maliciosos. Cuando los usuarios interactúan con estos elementos, descargan y ejecutan sin saberlo el ransomware en sus dispositivos.

Otro método implica sitios web comprometidos o vulnerabilidades de software. Los cibercriminales aprovechan las brechas de seguridad en sistemas operativos o aplicaciones obsoletos para implementar ransomware automáticamente. Además, el uso de fuentes de software poco confiables (como redes peer-to-peer, descargadores de terceros o software pirateado) puede exponer a los usuarios a amenazas de ransomware ocultas.

Medidas de precaución contra el ransomware

Para prevenir infecciones de ransomware es necesario adoptar hábitos de ciberseguridad proactivos. Los usuarios deben ser cautelosos al manipular correos electrónicos de remitentes desconocidos y evitar hacer clic en archivos adjuntos o enlaces inesperados. Verificar la legitimidad de un mensaje antes de abrir su contenido puede prevenir infecciones accidentales.

Descargar software solo de fuentes oficiales, como sitios web de desarrolladores o tiendas de aplicaciones confiables, minimiza el riesgo de encontrarse con descargas maliciosas. También es esencial evitar software pirateado, herramientas de descifrado de contraseñas y generadores de claves, ya que estos son canales comunes de distribución de ransomware. Mantener actualizados los sistemas operativos y el software ayuda a cerrar vulnerabilidades de seguridad que los atacantes pueden explotar.

Reflexiones finales

El ransomware sigue siendo una de las amenazas más disruptivas en materia de ciberseguridad, y cepas como SAGE 2.2 demuestran su naturaleza evolutiva. La angustia financiera y emocional que provocan los ataques de cifrado de archivos pone de relieve la importancia de mantener copias de seguridad seguras.

Los usuarios pueden mitigar el impacto de los incidentes de ransomware almacenando copias de seguridad en unidades externas o servicios en la nube que no estén conectados al sistema principal. Una estrategia integral de ciberseguridad que incluya vigilancia, actualizaciones de software y prácticas de copia de seguridad seguras también puede reducir la probabilidad de contraer infecciones con este tipo de amenazas.