SAGE 2.2 Ransomware: Uma ameaça persistente de bloqueio de arquivos

Uma evolução notória no ransomware

O SAGE 2.2 Ransomware é uma versão evoluída da cepa de ransomware Sage, projetada para criptografar arquivos e mantê-los reféns até que um resgate seja pago. Como seus predecessores, ele modifica os arquivos afetados anexando a extensão ".sage" e entrega uma nota de resgate rotulada "!HELP_SOS.hta" para informar as vítimas sobre a criptografia. Além de bloquear arquivos, o SAGE 2.2 altera o papel de parede da área de trabalho para reforçar sua demanda por pagamento.

O ransomware renomeia arquivos sistematicamente, por exemplo, convertendo "document.pdf" em "document.pdf.sage" e assim por diante. Isso deixa imediatamente claro para as vítimas que seus dados foram comprometidos. A nota de resgate que acompanha é apresentada em formatos de texto e áudio. Ela está disponível em vários idiomas, incluindo inglês, alemão, italiano, português, espanhol, francês, coreano, holandês, árabe, persa e chinês.

A nota de resgate e suas instruções

O SAGE 2.2 informa às vítimas que seus arquivos foram criptografados e que a única maneira de recuperá-los é obtendo a ferramenta "SAGE Decrypter" junto com uma chave de descriptografia exclusiva. A nota alerta contra a tentativa de usar ferramentas de descriptografia alternativas, afirmando que isso pode danificar permanentemente os arquivos. Para facilitar o pagamento e a comunicação, os invasores fornecem links da web onde as vítimas podem supostamente comprar o software de descriptografia.

Se os links fornecidos falharem, as vítimas são instruídas a baixar e usar o Tor Browser, uma ferramenta comumente associada à navegação anônima na web. A nota de resgate também inclui etapas detalhadas sobre como acessar os links da dark web, garantindo que mesmo aqueles não familiarizados com o Tor possam cumprir com as exigências dos invasores. Além disso, as instruções são reforçadas pela alteração do papel de parede da área de trabalho, dificultando que as vítimas ignorem.

Aqui está o que diz a nota de resgate:

File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.

This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".

Your files are not lost, it is possible to revert them back to normal state by decrypting.

The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.

Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.

You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:

If none of these links work for you, click here to update the list.

Updating links...

Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.

Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.

If you are asked for your personal key, copy it to the form on the site. This is your personal key:

-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files

If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".

In order to do that you need to:

open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.

You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.

O que o Ransomware como o SAGE 2.2 quer

Programas de ransomware, incluindo o SAGE 2.2, existem principalmente para extorquir dinheiro das vítimas. Ao criptografar arquivos cruciais e restringir o acesso, os invasores colocam as vítimas em uma posição desesperadora, onde elas podem se sentir forçadas a obedecer. No entanto, especialistas em segurança cibernética alertam contra o pagamento do resgate, pois não há certeza de que os invasores fornecerão uma ferramenta de descriptografia funcional. Em muitos casos, as vítimas que pagam não recebem seus arquivos de volta e podem até ser alvos novamente.

Como o SAGE 2.2 pode permanecer ativo e continuar criptografando novos arquivos ou se espalhar por uma rede local, uma ação imediata é necessária para evitar mais danos. Sem um backup válido ou ferramentas de descriptografia de terceiros, a recuperação de arquivos geralmente é impossível.

Como o Ransomware infecta sistemas

Ransomware como o SAGE 2.2 normalmente se infiltra em sistemas por meio de métodos enganosos. Um dos vetores de infecção mais comuns são e-mails fraudulentos contendo anexos ou links maliciosos. Quando os usuários interagem com esses elementos, eles inadvertidamente baixam e executam o ransomware em seus dispositivos.

Outro método envolve sites comprometidos ou vulnerabilidades de software. Os criminosos cibernéticos exploram lacunas de segurança em sistemas operacionais ou aplicativos desatualizados para implantar ransomware automaticamente. Além disso, usar fontes de software não confiáveis — como redes peer-to-peer (P2P), downloaders de terceiros ou software pirateado — pode expor os usuários a ameaças ocultas de ransomware.

Medidas de precaução contra ransomware

Prevenir infecções de ransomware requer hábitos proativos de segurança cibernética. Os usuários devem ser cautelosos ao lidar com e-mails de remetentes desconhecidos e evitar clicar em anexos ou links inesperados. Verificar a legitimidade de uma mensagem antes de abrir seu conteúdo pode evitar infecções acidentais.

Baixar software somente de fontes oficiais, como sites de desenvolvedores ou lojas de aplicativos confiáveis, minimiza o risco de encontrar downloads maliciosos. Evitar software pirateado, ferramentas de cracking e keygens também é essencial, pois esses são canais comuns de distribuição de ransomware. Manter os sistemas operacionais e softwares atualizados ajuda a fechar vulnerabilidades de segurança que os invasores podem explorar.

Considerações finais

O ransomware continua sendo uma das ameaças mais disruptivas em segurança cibernética, com cepas como SAGE 2.2 demonstrando sua natureza evolutiva. O sofrimento financeiro e emocional causado por ataques de criptografia de arquivos destaca a importância de manter backups seguros.

Os usuários podem mitigar o impacto de incidentes de ransomware armazenando backups em unidades externas ou serviços de nuvem não conectados ao sistema primário. Uma estratégia abrangente de segurança cibernética que inclua vigilância, atualizações de software e práticas seguras de backup também pode reduzir a probabilidade de infecção com tais ameaças.