Ransomware SAGE 2.2 : une menace persistante de verrouillage de fichiers
Table of Contents
Une évolution notoire des ransomwares
SAGE 2.2 Ransomware est une version évoluée de la souche de ransomware Sage, conçue pour crypter les fichiers et les garder en otage jusqu'au paiement d'une rançon. Comme ses prédécesseurs, il modifie les fichiers concernés en ajoutant l'extension « .sage » et délivre une note de rançon intitulée « !HELP_SOS.hta » pour informer les victimes du cryptage. En plus de verrouiller les fichiers, SAGE 2.2 modifie le fond d'écran du bureau pour renforcer sa demande de paiement.
Le ransomware renomme systématiquement les fichiers, par exemple en convertissant « document.pdf » en « document.pdf.sage », etc. Les victimes comprennent ainsi immédiatement que leurs données ont été compromises. La demande de rançon qui l'accompagne est présentée au format texte et audio. Elle est disponible en plusieurs langues, dont l'anglais, l'allemand, l'italien, le portugais, l'espagnol, le français, le coréen, le néerlandais, l'arabe, le persan et le chinois.
La demande de rançon et ses instructions
SAGE 2.2 informe les victimes que leurs fichiers ont été chiffrés et que la seule façon de les récupérer est d'obtenir l'outil « SAGE Decrypter » ainsi qu'une clé de déchiffrement unique. La note met en garde contre toute tentative d'utilisation d'outils de déchiffrement alternatifs, indiquant que cela pourrait endommager définitivement les fichiers. Pour faciliter le paiement et la communication, les attaquants fournissent des liens Web où les victimes peuvent soi-disant acheter le logiciel de déchiffrement.
Si les liens fournis échouent, les victimes sont invitées à télécharger et à utiliser le navigateur Tor, un outil généralement associé à la navigation Web anonyme. La demande de rançon comprend également des étapes détaillées sur la façon d'accéder aux liens du dark web, garantissant que même ceux qui ne connaissent pas Tor peuvent se conformer aux exigences des attaquants. De plus, les instructions sont renforcées par un changement du fond d'écran du bureau, ce qui rend difficile pour les victimes de les ignorer.
Voici ce que dit la demande de rançon :
File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".
Your files are not lost, it is possible to revert them back to normal state by decrypting.
The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.
Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.
You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:
If none of these links work for you, click here to update the list.
Updating links...
Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.
Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.
If you are asked for your personal key, copy it to the form on the site. This is your personal key:
-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your filesIf none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".
In order to do that you need to:
open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.
Ce que veulent les ransomwares comme SAGE 2.2
Les programmes de rançongiciels, dont SAGE 2.2, existent principalement pour extorquer de l’argent aux victimes. En chiffrant les fichiers cruciaux et en limitant l’accès, les attaquants placent les victimes dans une position désespérée où elles peuvent se sentir obligées d’obtempérer. Cependant, les experts en cybersécurité mettent en garde contre le paiement de la rançon, car il n’y a aucune certitude que les attaquants fourniront un outil de déchiffrement fonctionnel. Dans de nombreux cas, les victimes qui paient ne récupèrent pas leurs fichiers et peuvent même être à nouveau ciblées.
Étant donné que SAGE 2.2 peut rester actif et continuer à crypter de nouveaux fichiers ou à se propager sur un réseau local, une action immédiate est nécessaire pour éviter d'autres dommages. Sans une sauvegarde valide ou des outils de décryptage tiers, la récupération des fichiers est souvent impossible.
Comment les ransomwares infectent les systèmes
Les ransomwares comme SAGE 2.2 s'infiltrent généralement dans les systèmes par des méthodes trompeuses. L'un des vecteurs d'infection les plus courants est l'envoi d'e-mails frauduleux contenant des pièces jointes ou des liens malveillants. Lorsque les utilisateurs interagissent avec ces éléments, ils téléchargent et exécutent sans le savoir le ransomware sur leurs appareils.
Une autre méthode consiste à compromettre les sites Web ou les vulnérabilités logicielles. Les cybercriminels exploitent les failles de sécurité des systèmes d’exploitation ou des applications obsolètes pour déployer automatiquement des ransomwares. De plus, l’utilisation de sources logicielles peu fiables, telles que les réseaux peer-to-peer (P2P), les téléchargeurs tiers ou les logiciels piratés, peut exposer les utilisateurs à des menaces de ransomware cachées.
Mesures de précaution contre les ransomwares
La prévention des infections par ransomware nécessite des habitudes de cybersécurité proactives. Les utilisateurs doivent être prudents lorsqu'ils traitent des e-mails provenant d'expéditeurs inconnus et éviter de cliquer sur des pièces jointes ou des liens inattendus. Vérifier la légitimité d'un message avant d'ouvrir son contenu peut éviter les infections accidentelles.
Le téléchargement de logiciels uniquement à partir de sources officielles, telles que les sites Web des développeurs ou les boutiques d'applications de confiance, minimise le risque de rencontrer des téléchargements malveillants. Il est également essentiel d'éviter les logiciels piratés, les outils de piratage et les générateurs de clés, car ce sont des canaux de distribution courants de ransomware. La mise à jour constante des systèmes d'exploitation et des logiciels permet de combler les vulnérabilités de sécurité que les attaquants peuvent exploiter.
Réflexions finales
Les ransomwares demeurent l'une des menaces les plus perturbatrices en matière de cybersécurité, avec des souches telles que SAGE 2.2 démontrant leur nature évolutive. La détresse financière et émotionnelle causée par les attaques de chiffrement de fichiers souligne l'importance de maintenir des sauvegardes sécurisées.
Les utilisateurs peuvent atténuer l’impact des incidents de ransomware en stockant les sauvegardes sur des disques externes ou des services cloud non connectés au système principal. Une stratégie de cybersécurité complète qui comprend la vigilance, les mises à jour logicielles et les pratiques de sauvegarde sécurisées peut également réduire la probabilité d’être infecté par de telles menaces.
