SAGE 2.2 勒索軟體：持續的檔案鎖定威脅

勒索軟體臭名昭著的演變

SAGE 2.2 勒索軟體是 Sage 勒索軟體的進化版本，旨在加密檔案並將其扣為人質，直到支付贖金。與它的前身一樣，它透過附加「.sage」副檔名來修改受影響的文件，並提供標有「!HELP_SOS.hta」的勒索字條以通知受害者有關加密的資訊。除了鎖定文件之外，SAGE 2.2還更改了桌面桌布以強化其付費需求。

勒索軟體會系統性地重新命名文件，例如將「document.pdf」轉換為「document.pdf.sage」等。這使受害者立即清楚他們的數據已被洩露。隨附的贖金字條以文字和音訊格式提供。它有多種語言版本，包括英語、德語、義大利語、葡萄牙語、西班牙語、法語、韓語、荷蘭語、阿拉伯語、波斯語和中文。

勒索信及其說明

SAGE 2.2 通知受害者他們的檔案已被加密，恢復檔案的唯一方法是取得「SAGE Decrypter」工具以及唯一的解密金鑰。該說明警告不要嘗試使用替代解密工具，並指出這樣做可能會永久損壞檔案。為了方便支付和通信，攻擊者提供了受害者可以購買解密軟體的網路連結。

如果給定的連結失敗，受害者就會被指示下載並使用 Tor 瀏覽器，這是通常與匿名網頁瀏覽相關的工具。勒索信還包括如何存取暗網連結的詳細步驟，確保即使不熟悉 Tor 的人也能遵守攻擊者的要求。此外，透過更改桌面壁紙來強化這些說明，使受害者難以忽視。

勒索信的內容如下：

File recovery instructions
You probably noticed that you can not open your files and that some software stopped working correctly.

This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware".

Your files are not lost, it is possible to revert them back to normal state by decrypting.

The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key.

Using any other software which claims to be able to restore your files will result in files being damaged or destroyed.

You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links:

If none of these links work for you, click here to update the list.

Updating links...

Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below.

Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below.

If you are asked for your personal key, copy it to the form on the site. This is your personal key:

-
You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files

If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser".

In order to do that you need to:

open Internet Explorer or any other internet browser;
copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter";
once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions;
once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version);
Tor Browser will establish connection and open a normal browser window;
copy the address
-
into this browser address bar and press "Enter";
your personal page should be opened now; if it didn't then wait for a bit and try again.
If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube.

You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files.

SAGE 2.2 等勒索軟體想要什麼

包括 SAGE 2.2 在內的勒索軟體程式主要是為了向受害者勒索金錢。透過加密關鍵文件和限制訪問，攻擊者將受害者置於絕望的境地，他們可能會覺得被迫遵守。然而，網路安全專家警告不要支付贖金，因為不確定攻擊者是否會提供有效的解密工具。在許多情況下，受害者付款後卻收不到文件，甚至可能再次成為攻擊目標。

由於 SAGE 2.2 可以保持活動狀態並繼續加密新文件或在本地網路上傳播，因此有必要立即採取行動以防止進一步的損害。如果沒有有效的備份或第三方解密工具，復原檔案通常是不可能的。

勒索軟體如何感染系統

像 SAGE 2.2 這樣的勒索軟體通常透過欺騙性方法滲透系統。最常見的感染媒介之一是包含惡意附件或連結的詐騙電子郵件。當使用者與這些元素互動時，他們會不知不覺地在其裝置上下載並執行勒索軟體。

另一種方法涉及受損的網站或軟體漏洞。網路犯罪分子利用過時作業系統或應用程式中的安全漏洞自動部署勒索軟體。此外，使用不可靠的軟體來源（例如點對點 (P2P) 網路、第三方下載程式或盜版軟體）可能會讓使用者面臨隱藏的勒索軟體威脅。

針對勒索軟體的預防措施

預防勒索軟體感染需要積極主動的網路安全習慣。用戶在處理來自陌生寄件者的電子郵件時應謹慎，並避免點擊意外的附件或連結。在打開訊息內容之前驗證訊息的合法性可以防止意外感染。

僅從官方來源（例如開發人員網站或受信任的應用程式商店）下載軟體，可以最大限度地降低遭遇惡意下載的風險。避免盜版軟體、破解工具和註冊機也很重要，因為這些是常見的勒索軟體分發管道。保持作業系統和軟體更新有助於消除攻擊者可能利用的安全漏洞。

最後的想法

勒索軟體仍然是網路安全中最具破壞性的威脅之一，SAGE 2.2 等病毒株展現了其不斷發展的性質。文件加密攻擊造成的財務和情緒困擾凸顯了維護安全備份的重要性。

使用者可以透過將備份儲存在未連接到主系統的外部磁碟機或雲端服務上來減輕勒索軟體事件的影響。包括警覺、軟體更新和安全備份實踐在內的全面網路安全策略也可以降低感染此類威脅的可能性。