SAGE 2.2 Ransomware: Persistent File-Locking Threat

A Ransomware hírhedt evolúciója

A SAGE 2.2 Ransomware a Sage ransomware törzs továbbfejlesztett változata, amelyet arra terveztek, hogy titkosítsa a fájlokat, és túszként tartsa őket a váltságdíj kifizetéséig. Elődeihez hasonlóan módosítja az érintett fájlokat a ".sage" kiterjesztéssel, és egy "!HELP_SOS.hta" feliratú váltságdíjat küld, hogy tájékoztassa az áldozatokat a titkosításról. A fájlok zárolása mellett a SAGE 2.2 megváltoztatja az asztal háttérképét, hogy megerősítse a fizetési igényt.

A zsarolóprogram szisztematikusan átnevezi a fájlokat, például a „document.pdf” fájlt „document.pdf.sage”-vé alakítja és így tovább. Ez azonnal egyértelművé teszi az áldozatok számára, hogy adataikat feltörték. A kísérő váltságdíj-jegyzet szöveges és hangformátumban is megjelenik. Több nyelven is elérhető, köztük angol, német, olasz, portugál, spanyol, francia, koreai, holland, arab, perzsa és kínai nyelven.

A Ransom Note és utasításai

A SAGE 2.2 tájékoztatja az áldozatokat, hogy fájljaikat titkosították, és hogy az egyetlen módja annak, hogy visszaállítsák őket, a "SAGE Decrypter" eszköz és egy egyedi visszafejtő kulcc beszerzése. A megjegyzés figyelmeztet arra, hogy ne próbáljon meg alternatív visszafejtő eszközöket használni, és kijelenti, hogy ez véglegesen károsíthatja a fájlokat. A fizetés és a kommunikáció megkönnyítése érdekében a támadók internetes hivatkozásokat biztosítanak, ahol az áldozatok állítólag megvásárolhatják a visszafejtő szoftvert.

Ha a megadott hivatkozások meghiúsulnak, az áldozatokat utasítják, hogy töltsék le és használják a Tor Browser-t, egy olyan eszközt, amelyet általában az anonim webböngészésre használnak. A váltságdíjról szóló feljegyzés részletes lépéseket is tartalmaz a sötét webes hivatkozásokhoz való hozzáférésre vonatkozóan, biztosítva, hogy még a Tor-t nem ismerők is eleget tudjanak tenni a támadók követeléseinek. Ezenkívül az utasításokat megerősíti az asztal háttérképének megváltoztatása, ami megnehezíti az áldozatok figyelmen kívül hagyását.

Íme, mit ír a váltságdíj-levél:

File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.

This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".

Your files are not lost, it is possible to revert them back to normal state by decrypting.

The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.

Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.

You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:

If none of these links work for you, click here to update the list.

Updating links...

Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.

Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.

If you are asked for your personal key, copy it to the form on the site. This is your personal key:

-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files

If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".

In order to do that you need to:

open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.

You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.

Mit akar a Ransomware Like SAGE 2.2

A Ransomware programok, köztük a SAGE 2.2, elsősorban azért léteznek, hogy pénzt csikarjanak ki az áldozatoktól. A kulcsfontosságú fájlok titkosításával és a hozzáférés korlátozásával a támadók kétségbeesett helyzetbe hozzák az áldozatokat, ahol úgy érezhetik, hogy kénytelenek megfelelni. A kiberbiztonsági szakértők azonban óvakodnak a váltságdíj kifizetésétől, mivel nem biztos, hogy a támadók működőképes visszafejtő eszközt biztosítanak. Sok esetben a fizető áldozatok nem kapják vissza az irataikat, és akár ismét célponttá válhatnak.

Mivel a SAGE 2.2 továbbra is aktív maradhat, és folytathatja az új fájlok titkosítását, vagy a helyi hálózaton keresztül terjedhet, azonnali intézkedésre van szükség a további károk elkerülése érdekében. Érvényes biztonsági mentés vagy harmadik féltől származó visszafejtő eszközök nélkül a fájlok helyreállítása gyakran lehetetlen.

Hogyan fertőzi meg a Ransomware a rendszereket

A zsarolóvírusok, mint például a SAGE 2.2, általában megtévesztő módszerekkel hatolnak be a rendszerekbe. Az egyik leggyakoribb fertőzési vektor a rosszindulatú mellékleteket vagy hivatkozásokat tartalmazó csaló e-mailek. Amikor a felhasználók interakcióba lépnek ezekkel az elemekkel, tudtukon kívül letöltik és végrehajtják a ransomware-t az eszközeiken.

Egy másik módszer a feltört webhelyek vagy szoftver sebezhetőségei. A kiberbűnözők kihasználják az elavult operációs rendszerek vagy alkalmazások biztonsági hiányosságait a zsarolóvírusok automatikus telepítésére. Ezenkívül a megbízhatatlan szoftverforrások – mint például a peer-to-peer (P2P) hálózatok, harmadik féltől származó letöltők vagy kalózszoftverek – használata rejtett zsarolóprogram-fenyegetéseknek teheti ki a felhasználókat.

Óvintézkedések a Ransomware ellen

A ransomware fertőzések megelőzése proaktív kiberbiztonsági szokásokat igényel. A felhasználóknak óvatosnak kell lenniük az ismeretlen feladóktól származó e-mailek kezelésekor, és kerülniük kell a váratlan mellékletekre vagy hivatkozásokra való kattintást. Az üzenet jogosságának ellenőrzése a tartalmának megnyitása előtt megelőzheti a véletlen fertőzéseket.

Ha csak hivatalos forrásokból, például fejlesztői webhelyekről vagy megbízható alkalmazásboltokból tölt le szoftvert, minimálisra csökkenti a rosszindulatú letöltések kockázatát. A kalózszoftverek, a feltörő eszközök és a kulcsgensek elkerülése szintén elengedhetetlen, mivel ezek gyakori zsarolóvírus-terjesztési csatornák. Az operációs rendszerek és szoftverek naprakészen tartása segít a támadók által kihasznált biztonsági rések bezárásában.

Végső gondolatok

A zsarolóprogramok továbbra is az egyik legrombolóbb fenyegetés a kiberbiztonságban, és az olyan törzsek, mint a SAGE 2.2, bizonyítják fejlődő természetét. A fájltitkosítási támadások által okozott pénzügyi és érzelmi nehézségek rávilágítanak a biztonságos biztonsági mentések fenntartásának fontosságára.

A felhasználók úgy mérsékelhetik a zsarolóprogram-incidensek hatását, hogy biztonsági másolatokat tárolnak külső meghajtókon vagy felhőszolgáltatásokon, amelyek nem csatlakoznak az elsődleges rendszerhez. Egy átfogó kiberbiztonsági stratégia, amely magában foglalja az éberséget, a szoftverfrissítéseket és a biztonságos biztonsági mentési gyakorlatokat, szintén csökkentheti az ilyen fenyegetésekkel való fertőzés valószínűségét.