Ransomware SAGE 2.2: una minaccia persistente che blocca i file

Una famigerata evoluzione del ransomware

SAGE 2.2 Ransomware è una versione evoluta del ceppo ransomware Sage, progettato per crittografare i file e tenerli in ostaggio fino al pagamento di un riscatto. Come i suoi predecessori, modifica i file interessati aggiungendo l'estensione ".sage" e invia una nota di riscatto etichettata "!HELP_SOS.hta" per informare le vittime della crittografia. Oltre a bloccare i file, SAGE 2.2 modifica lo sfondo del desktop per rafforzare la richiesta di pagamento.

Il ransomware rinomina sistematicamente i file, ad esempio convertendo "document.pdf" in "document.pdf.sage" e così via. Ciò rende immediatamente chiaro alle vittime che i loro dati sono stati compromessi. La nota di riscatto allegata è presentata sia in formato testo che audio. È disponibile in più lingue, tra cui inglese, tedesco, italiano, portoghese, spagnolo, francese, coreano, olandese, arabo, persiano e cinese.

La nota di riscatto e le sue istruzioni

SAGE 2.2 informa le vittime che i loro file sono stati crittografati e che l'unico modo per recuperarli è ottenere lo strumento "SAGE Decrypter" insieme a una chiave di decrittazione univoca. La nota mette in guardia dal tentativo di utilizzare strumenti di decrittazione alternativi, affermando che ciò potrebbe danneggiare in modo permanente i file. Per facilitare il pagamento e la comunicazione, gli aggressori forniscono collegamenti Web in cui le vittime possono presumibilmente acquistare il software di decrittazione.

Se i link forniti falliscono, alle vittime viene chiesto di scaricare e utilizzare Tor Browser, uno strumento comunemente associato alla navigazione web anonima. La richiesta di riscatto include anche passaggi dettagliati su come accedere ai link del dark web, assicurando che anche chi non ha familiarità con Tor possa soddisfare le richieste degli aggressori. Inoltre, le istruzioni vengono rafforzate cambiando lo sfondo del desktop, rendendo difficile per le vittime ignorarle.

Ecco cosa dice la richiesta di riscatto:

File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.

This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".

Your files are not lost, it is possible to revert them back to normal state by decrypting.

The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.

Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.

You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:

If none of these links work for you, click here to update the list.

Updating links...

Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.

Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.

If you are asked for your personal key, copy it to the form on the site. This is your personal key:

-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files

If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".

In order to do that you need to:

open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.

You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.

Cosa vogliono i ransomware come SAGE 2.2

I programmi ransomware, tra cui SAGE 2.2, esistono principalmente per estorcere denaro alle vittime. Crittografando file cruciali e limitandone l'accesso, gli aggressori mettono le vittime in una posizione disperata in cui potrebbero sentirsi costrette a obbedire. Tuttavia, gli esperti di sicurezza informatica mettono in guardia dal pagare il riscatto, poiché non vi è alcuna certezza che gli aggressori forniranno uno strumento di decrittazione funzionante. In molti casi, le vittime che pagano non ricevono indietro i propri file e potrebbero persino essere nuovamente prese di mira.

Poiché SAGE 2.2 può rimanere attivo e continuare a crittografare nuovi file o diffondersi su una rete locale, è necessaria un'azione immediata per prevenire ulteriori danni. Senza un backup valido o strumenti di decrittazione di terze parti, il recupero dei file è spesso impossibile.

Come il ransomware infetta i sistemi

Ransomware come SAGE 2.2 in genere si infiltrano nei sistemi tramite metodi ingannevoli. Uno dei vettori di infezione più comuni sono le email fraudolente contenenti allegati o link dannosi. Quando gli utenti interagiscono con questi elementi, scaricano ed eseguono inconsapevolmente il ransomware sui loro dispositivi.

Un altro metodo riguarda siti web compromessi o vulnerabilità software. I criminali informatici sfruttano le falle di sicurezza nei sistemi operativi o nelle applicazioni obsoleti per distribuire automaticamente il ransomware. Inoltre, l'utilizzo di fonti software inaffidabili, come reti peer-to-peer (P2P), downloader di terze parti o software pirata, può esporre gli utenti a minacce ransomware nascoste.

Misure precauzionali contro il ransomware

Per prevenire le infezioni da ransomware sono necessarie abitudini di sicurezza informatica proattive. Gli utenti devono essere cauti quando gestiscono e-mail da mittenti non familiari ed evitare di cliccare su allegati o link inaspettati. Verificare la legittimità di un messaggio prima di aprirne il contenuto può prevenire infezioni accidentali.

Scaricare software solo da fonti ufficiali, come i siti Web degli sviluppatori o gli app store attendibili, riduce al minimo il rischio di imbattersi in download dannosi. È inoltre essenziale evitare software pirata, strumenti di cracking e keygen, poiché questi sono comuni canali di distribuzione del ransomware. Mantenere aggiornati i sistemi operativi e il software aiuta a chiudere le vulnerabilità di sicurezza che gli aggressori potrebbero sfruttare.

Considerazioni finali

Il ransomware rimane una delle minacce più dirompenti nella sicurezza informatica, con ceppi come SAGE 2.2 che dimostrano la sua natura in evoluzione. Il disagio finanziario ed emotivo causato dagli attacchi di crittografia dei file evidenzia l'importanza di mantenere backup sicuri.

Gli utenti possono mitigare l'impatto degli incidenti ransomware archiviando i backup su unità esterne o servizi cloud non connessi al sistema primario. Una strategia completa di sicurezza informatica che includa vigilanza, aggiornamenti software e pratiche di backup sicure può anche ridurre la probabilità di contrarre infezioni con tali minacce.