SAGE 2.2 Ransomware: Uporczywe zagrożenie blokowania plików
Table of Contents
Znana ewolucja w oprogramowaniu ransomware
SAGE 2.2 Ransomware to rozwinięta wersja odmiany ransomware Sage, zaprojektowana do szyfrowania plików i przetrzymywania ich jako zakładników do czasu zapłacenia okupu. Podobnie jak jego poprzednicy, modyfikuje on zainfekowane pliki, dodając rozszerzenie „.sage” i dostarcza notatkę o okupie oznaczoną jako „!HELP_SOS.hta”, aby poinformować ofiary o szyfrowaniu. Oprócz blokowania plików, SAGE 2.2 zmienia tapetę pulpitu, aby wzmocnić żądanie zapłaty.
Oprogramowanie ransomware systematycznie zmienia nazwy plików, na przykład konwertując „document.pdf” na „document.pdf.sage” itd. Dzięki temu ofiary od razu wiedzą, że ich dane zostały naruszone. Towarzysząca notatka o okupie jest prezentowana w formacie tekstowym i audio. Jest dostępna w wielu językach, w tym angielskim, niemieckim, włoskim, portugalskim, hiszpańskim, francuskim, koreańskim, holenderskim, arabskim, perskim i chińskim.
List z żądaniem okupu i jego instrukcje
SAGE 2.2 informuje ofiary, że ich pliki zostały zaszyfrowane i że jedynym sposobem na ich odzyskanie jest uzyskanie narzędzia „SAGE Decrypter” wraz z unikalnym kluczem deszyfrującym. Notatka ostrzega przed próbami użycia alternatywnych narzędzi deszyfrujących, stwierdzając, że takie działanie może trwale uszkodzić pliki. Aby ułatwić płatność i komunikację, atakujący udostępniają linki internetowe, na których ofiary rzekomo mogą kupić oprogramowanie deszyfrujące.
Jeśli podane linki zawiodą, ofiary otrzymują polecenie pobrania i użycia przeglądarki Tor Browser, narzędzia powszechnie kojarzonego z anonimowym przeglądaniem sieci. Notatka o okupie zawiera również szczegółowe instrukcje dotyczące uzyskiwania dostępu do łączy dark web, co zapewnia, że nawet osoby niezaznajomione z Tor mogą spełnić żądania atakujących. Ponadto instrukcje są wzmacniane przez zmianę tapety pulpitu, co utrudnia ofiarom ich zignorowanie.
Oto treść listu z żądaniem okupu:
File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".
Your files are not lost, it is possible to revert them back to normal state by decrypting.
The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.
Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.
You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:
If none of these links work for you, click here to update the list.
Updating links...
Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.
Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.
If you are asked for your personal key, copy it to the form on the site. This is your personal key:
-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your filesIf none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".
In order to do that you need to:
open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.
Czego chce ransomware, taki jak SAGE 2.2
Programy ransomware, w tym SAGE 2.2, istnieją głównie po to, aby wyłudzać pieniądze od ofiar. Szyfrując kluczowe pliki i ograniczając dostęp, atakujący stawiają ofiary w rozpaczliwej sytuacji, w której mogą czuć się zmuszone do podporządkowania się. Jednak eksperci ds. cyberbezpieczeństwa ostrzegają przed płaceniem okupu, ponieważ nie ma pewności, że atakujący udostępnią działające narzędzie do odszyfrowywania. W wielu przypadkach ofiary, które zapłacą, nie otrzymują swoich plików z powrotem i mogą nawet ponownie stać się celem ataku.
Ponieważ SAGE 2.2 może pozostać aktywny i kontynuować szyfrowanie nowych plików lub rozprzestrzeniać się w sieci lokalnej, konieczne jest natychmiastowe działanie w celu zapobieżenia dalszym szkodom. Bez ważnej kopii zapasowej lub narzędzi do odszyfrowywania stron trzecich odzyskiwanie plików jest często niemożliwe.
Jak ransomware infekuje systemy
Ransomware, takie jak SAGE 2.2, zazwyczaj infiltruje systemy za pomocą oszukańczych metod. Jednym z najczęstszych wektorów infekcji są oszukańcze wiadomości e-mail zawierające złośliwe załączniki lub linki. Kiedy użytkownicy wchodzą w interakcję z tymi elementami, nieświadomie pobierają i uruchamiają ransomware na swoich urządzeniach.
Inna metoda obejmuje zainfekowane witryny lub luki w zabezpieczeniach oprogramowania. Cyberprzestępcy wykorzystują luki w zabezpieczeniach przestarzałych systemów operacyjnych lub aplikacji, aby automatycznie wdrażać ransomware. Ponadto korzystanie z niepewnych źródeł oprogramowania — takich jak sieci peer-to-peer (P2P), programy do pobierania stron trzecich lub pirackie oprogramowanie — może narazić użytkowników na ukryte zagrożenia ransomware.
Środki ostrożności przeciwko oprogramowaniu ransomware
Zapobieganie infekcjom ransomware wymaga proaktywnych nawyków cyberbezpieczeństwa. Użytkownicy powinni zachować ostrożność podczas obsługi wiadomości e-mail od nieznanych nadawców i unikać klikania nieoczekiwanych załączników lub linków. Weryfikacja autentyczności wiadomości przed otwarciem jej zawartości może zapobiec przypadkowym infekcjom.
Pobieranie oprogramowania wyłącznie z oficjalnych źródeł, takich jak strony internetowe deweloperów lub zaufane sklepy z aplikacjami, minimalizuje ryzyko napotkania złośliwych pobrań. Unikanie pirackiego oprogramowania, narzędzi do łamania zabezpieczeń i generatorów kluczy jest również niezbędne, ponieważ są to powszechne kanały dystrybucji oprogramowania ransomware. Aktualizowanie systemów operacyjnych i oprogramowania pomaga zamknąć luki w zabezpieczeniach, które atakujący mogą wykorzystać.
Ostatnie przemyślenia
Ransomware pozostaje jednym z najbardziej destrukcyjnych zagrożeń w cyberbezpieczeństwie, a szczepy takie jak SAGE 2.2 pokazują jego ewolucyjną naturę. Finansowy i emocjonalny niepokój spowodowany atakami szyfrującymi pliki podkreśla znaczenie utrzymywania bezpiecznych kopii zapasowych.
Użytkownicy mogą łagodzić skutki incydentów ransomware, przechowując kopie zapasowe na dyskach zewnętrznych lub usługach w chmurze, które nie są podłączone do głównego systemu. Kompleksowa strategia cyberbezpieczeństwa, która obejmuje czujność, aktualizacje oprogramowania i bezpieczne praktyki tworzenia kopii zapasowych, może również zmniejszyć prawdopodobieństwo infekcji takimi zagrożeniami.
