SAGE 2.2 勒索软件:持续性文件锁定威胁
Table of Contents
勒索软件的恶名昭彰的演变
SAGE 2.2 勒索软件是 Sage 勒索软件的进化版本,旨在加密文件并将其扣为人质,直到受害者支付赎金。与之前的版本一样,它会通过附加“.sage”扩展名来修改受影响的文件,并发送标有“!HELP_SOS.hta”的赎金通知,告知受害者有关加密的信息。除了锁定文件外,SAGE 2.2 还会更改桌面壁纸以强化其付款要求。
勒索软件会系统地重命名文件,例如将“document.pdf”转换为“document.pdf.sage”等等。这会让受害者立即意识到他们的数据已被泄露。随附的赎金说明以文本和音频格式呈现。它提供多种语言版本,包括英语、德语、意大利语、葡萄牙语、西班牙语、法语、韩语、荷兰语、阿拉伯语、波斯语和中文。
赎金纸条及其说明
SAGE 2.2 通知受害者,他们的文件已被加密,恢复文件的唯一方法是获取“SAGE 解密器”工具以及唯一的解密密钥。该通知警告不要尝试使用其他解密工具,并指出这样做可能会永久损坏文件。为了方便付款和交流,攻击者提供了网络链接,受害者据称可以从中购买解密软件。
如果给定的链接失效,受害者将被指示下载并使用 Tor 浏览器,这是一种常用于匿名网页浏览的工具。赎金通知还包括有关如何访问暗网链接的详细步骤,以确保即使不熟悉 Tor 的人也能遵守攻击者的要求。此外,通过更改桌面壁纸来强化这些指示,让受害者难以忽视。
赎金通知的内容如下:
File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".
Your files are not lost, it is possible to revert them back to normal state by decrypting.
The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.
Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.
You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:
If none of these links work for you, click here to update the list.
Updating links...
Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.
Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.
If you are asked for your personal key, copy it to the form on the site. This is your personal key:
-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your filesIf none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".
In order to do that you need to:
open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.
SAGE 2.2 等勒索软件的意图
勒索软件程序(包括 SAGE 2.2)的主要目的是向受害者勒索钱财。通过加密关键文件并限制访问,攻击者将受害者置于绝望的境地,他们可能会被迫服从。然而,网络安全专家警告不要支付赎金,因为攻击者不一定能提供可用的解密工具。在许多情况下,支付赎金的受害者不会拿回他们的文件,甚至可能再次成为攻击目标。
由于 SAGE 2.2 可以保持活动状态并继续加密新文件或传播到本地网络,因此必须立即采取行动以防止进一步损害。如果没有有效的备份或第三方解密工具,恢复文件通常是不可能的。
勒索软件如何感染系统
像 SAGE 2.2 这样的勒索软件通常通过欺骗性方法渗透系统。最常见的感染媒介之一是包含恶意附件或链接的欺诈性电子邮件。当用户与这些元素交互时,他们会在不知情的情况下在其设备上下载并执行勒索软件。
另一种方法涉及受感染的网站或软件漏洞。网络犯罪分子利用过时操作系统或应用程序中的安全漏洞自动部署勒索软件。此外,使用不可靠的软件来源(例如点对点 (P2P) 网络、第三方下载器或盗版软件)可能会使用户面临隐藏的勒索软件威胁。
防范勒索软件的措施
预防勒索软件感染需要积极主动的网络安全习惯。用户在处理来自陌生发件人的电子邮件时应小心谨慎,避免点击意外的附件或链接。在打开邮件内容之前验证邮件的合法性可以防止意外感染。
仅从官方来源(例如开发人员的网站或受信任的应用商店)下载软件可最大限度地降低遭遇恶意下载的风险。避免使用盗版软件、破解工具和密钥生成器也很重要,因为这些都是常见的勒索软件分发渠道。保持操作系统和软件更新有助于消除攻击者可能利用的安全漏洞。
最后的想法
勒索软件仍然是网络安全领域最具破坏性的威胁之一,SAGE 2.2 等病毒株表明其不断演变。文件加密攻击造成的经济和情感困扰凸显了维护安全备份的重要性。
用户可以通过将备份存储在未连接到主系统的外部驱动器或云服务上来减轻勒索软件事件的影响。包括警惕、软件更新和安全备份实践在内的全面网络安全策略也可以降低感染此类威胁的可能性。
