SAGE 2.2 Ransomware: nuolatinė failų užrakinimo grėsmė

Liūdnai pagarsėjusi Ransomware evoliucija

SAGE 2.2 Ransomware yra patobulinta Sage ransomware padermės versija, skirta šifruoti failus ir laikyti juos įkaitais, kol bus sumokėta išpirka. Kaip ir jo pirmtakai, jis modifikuoja paveiktus failus pridėdamas plėtinį „.sage“ ir pateikia išpirkos raštelį „!HELP_SOS.hta“, kad informuotų aukas apie šifravimą. Be failų užrakinimo, SAGE 2.2 pakeičia darbalaukio foną, kad padidintų mokėjimo poreikį.

Išpirkos reikalaujanti programa sistemingai pervardija failus, pavyzdžiui, konvertuodama „document.pdf“ į „document.pdf.sage“ ir pan. Taip aukoms iškart tampa aišku, kad jų duomenys buvo pažeisti. Kartu pateikiamas išpirkos raštelis pateikiamas teksto ir garso formatu. Jis pasiekiamas keliomis kalbomis, įskaitant anglų, vokiečių, italų, portugalų, ispanų, prancūzų, korėjiečių, olandų, arabų, persų ir kinų.

Išpirkos užrašas ir jo instrukcijos

SAGE 2.2 informuoja aukas, kad jų failai buvo užšifruoti ir kad vienintelis būdas juos atkurti yra gauti „SAGE Decrypter“ įrankį kartu su unikaliu iššifravimo raktu. Pastaba įspėjama nebandyti naudoti alternatyvių iššifravimo įrankių, nurodydama, kad tai gali visam laikui sugadinti failus. Siekdami palengvinti mokėjimą ir bendravimą, užpuolikai pateikia žiniatinklio nuorodas, kur aukos gali tariamai įsigyti iššifravimo programinę įrangą.

Jei nurodytos nuorodos nepavyksta, aukoms nurodoma atsisiųsti ir naudoti „Tor Browser“ – įrankį, dažniausiai siejamą su anoniminiu interneto naršymu. Išpirkos rašte taip pat pateikiami išsamūs žingsniai, kaip pasiekti tamsiąsias žiniatinklio nuorodas, užtikrinant, kad net nepažįstantys „Tor“ galėtų įvykdyti užpuolikų reikalavimus. Be to, instrukcijos yra sustiprintos pakeitus darbalaukio foną, todėl aukoms sunku jų nepaisyti.

Štai kas sakoma išpirkos raštelyje:

File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.

This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".

Your files are not lost, it is possible to revert them back to normal state by decrypting.

The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.

Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.

You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:

If none of these links work for you, click here to update the list.

Updating links...

Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.

Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.

If you are asked for your personal key, copy it to the form on the site. This is your personal key:

-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files

If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".

In order to do that you need to:

open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.

You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.

Ko nori „Ransomware Like SAGE 2.2“.

Išpirkos reikalaujančios programos, įskaitant SAGE 2.2, pirmiausia yra skirtos išvilioti pinigus iš aukų. Šifruodami svarbius failus ir apribodami prieigą, užpuolikai atsiduria beviltiškoje padėtyje, kur jos gali jaustis priverstos paklusti. Tačiau kibernetinio saugumo ekspertai perspėja nemokėti išpirkos, nes nėra tikrumo, kad užpuolikai pateiks veikiantį iššifravimo įrankį. Daugeliu atvejų sumokėjusios aukos negrąžina savo bylų ir netgi gali vėl būti nukreiptos.

Kadangi SAGE 2.2 gali likti aktyvus ir toliau šifruoti naujus failus arba plisti vietiniame tinkle, reikia nedelsiant imtis veiksmų, kad būtų išvengta tolesnės žalos. Be galiojančios atsarginės kopijos ar trečiosios šalies iššifravimo įrankių failų atkurti dažnai neįmanoma.

Kaip Ransomware užkrečia sistemas

Išpirkos reikalaujančios programos, tokios kaip SAGE 2.2, paprastai įsiskverbia į sistemas apgaulingais metodais. Vienas iš labiausiai paplitusių infekcijos vektorių yra apgaulingi el. laiškai, kuriuose yra kenkėjiškų priedų ar nuorodų. Kai vartotojai sąveikauja su šiais elementais, jie nesąmoningai atsisiunčia ir paleidžia išpirkos reikalaujančią programinę įrangą savo įrenginiuose.

Kitas būdas yra susijęs su pažeistomis svetainėmis arba programinės įrangos pažeidžiamumu. Kibernetiniai nusikaltėliai išnaudoja pasenusių operacinių sistemų ar programų saugumo spragas, kad automatiškai įdiegtų išpirkos reikalaujančias programas. Be to, naudojant nepatikimus programinės įrangos šaltinius, pvz., lygiaverčius (P2P) tinklus, trečiųjų šalių atsisiuntimo programas arba piratinę programinę įrangą, vartotojai gali susidurti su paslėptomis išpirkos programinės įrangos grėsmėmis.

Atsargumo priemonės prieš išpirkos programinę įrangą

Norint užkirsti kelią išpirkos reikalaujančių programų infekcijoms, reikia imtis aktyvių kibernetinio saugumo įpročių. Naudotojai turėtų būti atsargūs tvarkydami el. laiškus iš nepažįstamų siuntėjų ir nespausti netikėtų priedų ar nuorodų. Prieš atidarant jo turinį patikrinus pranešimo teisėtumą, galima išvengti atsitiktinių užkrėtimų.

Atsisiunčiant programinę įrangą tik iš oficialių šaltinių, pvz., kūrėjų svetainių ar patikimų programų parduotuvių, sumažinama rizika susidurti su kenkėjiškais atsisiuntimais. Taip pat labai svarbu vengti piratinės programinės įrangos, nulaužimo įrankių ir raktų genų, nes tai yra įprasti išpirkos reikalaujančių programų platinimo kanalai. Operacinės sistemos ir programinės įrangos atnaujinimas padeda pašalinti saugos spragas, kurias gali išnaudoti užpuolikai.

Paskutinės mintys

Išpirkos reikalaujančios programos tebėra viena iš labiausiai kibernetinio saugumo grėsmių, o tokios atmainos kaip SAGE 2.2 demonstruoja besikeičiančią jos prigimtį. Finansinė ir emocinė kančia, kurią sukelia failų šifravimo atakos, pabrėžia saugių atsarginių kopijų išsaugojimo svarbą.

Vartotojai gali sušvelninti išpirkos programinės įrangos incidentų poveikį saugodami atsargines kopijas išoriniuose diskuose arba debesies paslaugose, neprijungtuose prie pagrindinės sistemos. Išsami kibernetinio saugumo strategija, apimanti budrumą, programinės įrangos atnaujinimus ir saugias atsargines kopijas, taip pat gali sumažinti tikimybę užsikrėsti tokiomis grėsmėmis.