Ransomware Sage

Znany również jako: .sage wirusów
Dystrybucja: Niska
Poziom zniszczenia: <strong>Silny</strong>

Opis Usuwanie Zapobieganie

Instrukcje usuwania ransomware Sage

Czym jest Sage?

Sage to wirus typu ransomware odkryty przez Karsten Hahn który jest odmianą ransomware CryLocker. Po infiltracji, Sage szyfruje różne pliki i dołącza do ich nazwy rozszerzenie ".sage" (na przykład "sample.jpg" została zmieniona na "sample.jpg.sage"). Po udanym szyfrowaniu, Sage tworzy dwa pliki ("!Recovery_[6_losowych_znaków]_.txt" i "!Recovery_[6_losowych_znaków].html"), umieszczając je w każdym folderze zawierającym zaszyfrowane pliki. Zmienia się także tapeta pulpitu.

Pliki txt i html zawierają identyczne wiadomości z żądaniem okupu, stwierdzające, że pliki są zaszyfrowane przy użyciu szyfrowania asymetrycznego oraz że mogą one zostać odzyskane tylko za pomocą klucza prywatnego. Aby otrzymać ten klucz, ofiary muszą zapłacić okup w wysokości 150 $ w Bitcoinach. Jeżeli płatność nie zostanie uiszczona w określonym przedziale czasowym (na stronie Sage wyświetlany jest licznik), okup zostanie podwojony do 300 $. Aby zapłacić, ofiary muszą odwiedzić stronę internetową Tor (link podany w wiadomości) i postępować zgodnie ze szczegółowymi instrukcjami. Sage wykorzystuje algorytm szyfrowania asymetrycznego, a więc twierdzi że odszyfrowanie bez klucza prywatnego jest niemożliwe, co niestety jest prawdą. Programiści Sage przechowują klucz na zdalnym serwerze - ofiary są szantażowane i zachęcane do zapłacenia okupu, aby go otrzymać. Cyberprzestępcy często ignorują ofiary pomimo dokonanych płatności. Dlatego nigdy nie należy ryzykować płacenia, ponieważ istnieje wysokie prawdopodobieństwo, że zostaniesz oszukany. Radzimy, aby ignorować wszystkie żądania zapłaty lub skontaktowania się z tymi ludźmi. Obecnie nie ma żadnych narzędzi zdolnych do odzyskania plików zaszyfrowanych przez ransomware Sage. Problem ten można rozwiązać tylko poprzez przywrócenie plików/systemu z kopii zapasowej.

Zrzut ekranu z wiadomością (tapetą pulpitu) zachęcającą użytkowników do zapłacenia okupu w celu odszyfrowania ich zainfekowanych danych:

Sage decrypt instructions

Istnieją dziesiątki wirusów typu ransomware, które są podobne do Sage. Przykłady obejmują ASN1, Cerber, Dharma. Z badań wynika, że ​​wszystkie te wirusy mają identyczne zachowanie - szyfrują pliki i żądają okupu. Istnieją pomiędzy nimi tylko dwie zasadnicze różnice: 1) rodzaj użytego algorytmu szyfrowania (symetryczny/asymetryczny) oraz; 2) cena za odszyfrowanie. Wirusy typu ransomware są często dystrybuowane za pomocą wiadomości Spam (szkodliwych załączników), sieci peer-to-peer i innych źródeł pobrania oprogramowania stron trzecich (stron internetowych z freeware, stron internetowych z bezpłatnym hostingiem plików itp.), fałszywych narzędzia aktualizacji oprogramowania i trojanów. Dlatego należy bardzo uważać podczas otwierania plików otrzymanych z podejrzanych e-maili i pobierania oprogramowania z nieoficjalnych źródeł. Ponadto, należy na bieżąco aktualizować zainstalowane oprogramowanie i nigdy nie używać aktualizatorów stron trzecich. Korzystanie z uzasadnionego oprogramowania antywirusowego/antyspyware jest najważniejsze. Kluczem do bezpieczeństwa komputerowego jest ostrożność.

Wiadomość z żądaniem okupu (przedstawiona na tapecie pulpitu):

UWAGA!

Sage zaszyfrowało wszystkie twoje pliki!

Wszystkie twoje pliki, obrazy, filmy i bazy danych zostały zaszyfrowane i stały się niedostępne dzięki oprogramowaniu znanemu jako Sage.

Nie masz szans na odzyskanie plików bez naszej pomocy. Jednak jeśli zapoznasz się z naszymi instrukcjami, możesz łatwo odzyskać swoje pliki. Instrukcje dotyczące sposobu, w jaki możesz odzyskać swoje uzyskać pliki są przechowywane na każdym dysku, w twoich dokumentach i na pulpicie. Poszukaj plików !Recovery_47UdPQ.txt i !Recovery_47UdPQ.html. Jeśli nie możesz ich odnaleźć, użyj programu "Przeglądarka Tor" (możesz go znaleźć w Google), aby uzyskać dostęp do tej strony internetowej http://qbxeaekvg7o3lxnn.onion i uzyskać instrukcje.

Zrzut ekranu pliku tekstowego Sage:

Sage text file

Zrzut ekranu pliku html Sage:

Sage decrypt instructions

Wiadomość z żądaniem okupu (prezentowana w plikach "!Recovery_[6_losowych_znaków]_.txt" i "!Recovery_[6_losowych_znaków].html"):

Nie twój język? Użyj hxxps://translate.google.com

OSTRZEŻENIE!

TWOJE DOKUMENTY, BAZ DANYCH, PLIKI PROJEKTOWE, TREŚCI AUDIO I WIDEO ORAZ INNE WAŻNE PLIKI ZOSTAŁY ZASZYFROWANE ZA POMOCĄ STAŁEGO ALGORYTMU SZYFROWANIA KLASY WOJSKOWEJ

Jak to się stało?

Specjalnie dla twojego komputera został wygenerowany prywatny 4096-bitowy klucz RSA, zarówno publiczny, jak i prywatny. Wszystkie twoje pliki zostały zaszyfrowane za pomocą klucza publicznego. Ich odszyfrowanie jest możliwe tylko za pomocą klucza prywatnego i programu deszyfrującego.....

Co mam zrobić?...

Nie czekaj na cud oraz podwojenie ceny! Już teraz zacznij zdobywanie Bitcoinów i odzyskiwanie danych w prosty sposób! Jeśli masz naprawdę cenne dane, lepiej nie trać czasu, ponieważ nie ma innego sposobu, aby uzyskać dostęp do twoich plików, OPRÓCZ DOKONANIA płatności. Twój osobisty identyfikator:....

Aby uzyskać bardziej szczegółowe instrukcje, odwiedź swoją stronę główną. Poniżej znajduje się kilka różnych adresów wskazujących ją:

1 - hxxp://qbxeaekvg7o3lxnn.onion.to
2 - hxxp://qbxeaekvg7o3lxnn.onion.cab
3 - hxxp://qbxeaekvg7o3lxnn.onion.city

Co należy zrobić z tymi adresami?

1. Spójrz na pierwszy adres (w tym przypadku jest to hxxp://qbxeaekvg7o3lxnn.onion.to);

2. Wybierz go z kursorem myszy przytrzymując lewy przycisk myszy i

przesuwając kursor w prawo;

3. Zwolnij lewy przycisk myszy i naciśnij prawy;

4. W menu, które się pojawiło wybierz opcję "Kopiuj";

5. Uruchom przeglądarkę internetową (jeśli nie wiesz co to jest uruchom

Internet Explorer);

6. Przesuń kursor myszy na pasku adresu przeglądarki (jest to miejsce, w którym jest wpisany adres strony);

7. Kliknij prawym przyciskiem myszy pole, w którym jest wpisany adres stron;

8. W menu, które się pojawiło wybierz przycisk "Wstaw";

9. Pojawi się w nim adres hxxp hxxp://qbxeaekvg7o3lxnn.onion.to,

10. Naciśnij ENTER;

11. Strona powinna się załadować. Jeśli nie jest załadowana powtórz te same czynności z drugim adresem i tak dalej, aż do ostatniego adres, jeśli nie będziesz miał powodzenia. Jeśli z jakiegoś powodu strona nie będzie mogła się otworzyć sprawdź połączenie z Internetem. Niestety, strony te są krótkotrwałe, ponieważ firmy antywirusowe nie są zainteresowane twoimi szansami na odzyskanie plików i chcą jedynie, abyś ciągle zakupywał ich produkty. W odróżnieniu od nich zawsze jesteśmy gotowi pomóc. Jeśli potrzebujesz naszej pomocy, a tymczasowe strony nie są dostępne:

1. Uruchom swoją przeglądarkę internetową (jeśli nie wiesz co to jest uruchom Internet Explorer);

2. Wpisz lub skopiuj adres hxxps://www.torproject.org/download/download-easy.html.en w pasku adresu przeglądarki i naciśnij Enter;

3. Poczekaj na załadowanie się strony;

4. Na stronie zostanie ci zaoferowane pobranie przeglądarki Tor; pobierz i uruchom ją, a następnie postępuj zgodnie z instrukcjami. Poczekaj, aż instalacja zostanie zakończona;

5. Uruchom przeglądarkę Tor;

6. Podłącz się za pomocą przycisku "Connect" (jeśli używasz wersji angielskiej);

7. Po inicjalizacji otworzy się normalne okno przeglądarki internetowej;

8. Wpisz lub skopiuj do przeglądarki adres hxxp://qbxeaekvg7o3lxnn.onion

9. Naciśnij ENTER;

10. Strona powinna się załadować. Jeśli z jakiegoś powodu strona się nie ładuje, zaczekaj chwilę i spróbuj ponownie

!!! WAŻNE !!!

Pamiętaj, aby skopiować swój osobisty identyfikator oraz link do instrukcji do swojego notatnika, aby ich nie stracić.

Zrzut ekranu strony internetowej Sage Tor (strony domowej):

Sage website (Home)

Tekst prezentowany na tej stronie:

Ważna informacja! Proszę przeczytaj uważnie!

Uwaga!

Sage zaszyfrowało wszystkie twoje pliki!

Wszystkie pliki, obrazy, filmy i bazy danych zostały zaszyfrowane i nie są już dłużej dostępne z powodu oprogramowania znanego jako Sage!

Aby odzyskać wszystkie swoje pliki musisz zapłacić 150 $ (≈0,20357 BTC) za odszyfrowanie.

Po dokonaniu pełnej zapłaty będziesz mógł pobrać oprogramowanie do odzyskania danych.

W przypadku braku zapłaty w ciągu 06 dni 06 godz. 49 min. 39 sek., wysokość okupu zostanie podniesiona do 300 $ (≈0.40713)

Nie masz szans na przywrócenie plików bez naszej pomocy!

Pliki zostaną łatwo przywrócone, jeśli będziesz postępować zgodnie z naszymi instrukcjami!

W przypadku powtarzającego się braku zapłaty rosnącej kwoty okupu w danym okresie, niepowtarzalny kod deszyfrujący dla twoich plików zostanie zablokowany, a jego odzyskanie będzie absolutnie niemożliwe!

Zrzut ekranu strony internetowej Sage (strony płatności):

Sage website (Payment)

Tekst prezentowany na tej stronie:

Procedura płatności. Jak zapłacić?

Płatność może być dokonana jedynie za pomocą systemu Bitcoin.

Bitcoin to nowa generacja zdecentralizowanej waluty cybernetycznej, która została utworzona w Internecie i działa tylko w Internecie. Emisja waluty Bitcoin (BTC) jest wykonywana przez pracę milionów komputerów na całym świecie za pomocą programu do obliczeń algorytmów matematycznych. W związku z tym, wszystkie płatności w ramach systemu płatności są otwarte, ale w tym samym czasie całkowicie anonimowe na całym świecie. Można mieć zatem pewność, że w przypadku pełnej zapłaty prowizji, wszystkie pliki zostaną odszyfrowane. Pamiętaj, że kurs waluty BTC jak każdy inny kurs waluty w świecie nie jest ustalony. Ma on tendencję wzrostową, dlatego radzimy, aby nie opóźniać zakupu BTC oraz zapłaty. Jak płacić w systemie Bitcoin?

Nie martw się, proces płatności w systemie Bitcoin nie jest trudny i wymaga wykonania kilku prostych kroków.

1. Portfel BTC, którego potrzebujesz, aby dokonać zapłaty został specjalnie dla ciebie utworzony, a zapłacona kwota nie może zostać utracona! Będziesz mógł sprawdzić wszystkie informacje na temat dokonanych płatności. Twój portfel BTC: 1EpwuEdnMRaWs75WwKBHuQkiPcyVyb7GdM

2. Na całym świecie istnieje wiele różnych usług (zobacz pełną listę poniżej) pozwalających kupić walutę BTC za gotówkę, za pomocą klasycznej karty bankowej (Visa/Mastercard), PayPal, przelewu bankowego i innych metod płatności.

3. Poniżej możesz znaleźć listę zaufanych usług zakupu Bitcoin. Pragniemy zwrócić twoją uwagę na fakt, że usługi te nie są powiązane z nami! Większość z nich jest przeznaczona dla początkujących i posiada szybkie usługi wsparcia. Niektóre z tych usług utworzą dla ciebie prywatny portfel BTC, podczas gdy inne mogą wykonać bezpośredni transfer na portfel, który został dla ciebie utworzony w naszym systemie. Zauważ, że niektóre z wymienionych usług mogą wymagać, aby potwierdzić twoją tożsamość przed zakupem Bitcoinów.

4. WAŻNE, ABY TO WIEDZIEĆ PRZY OKAZJI DOKONYWANIA PŁATNOŚCI W RAMACH SYSTEMU BITCOIN!

Jeśli musisz zapisać, skopiować itp. numer swojego portfela BTC, nie próbuj go zapisywać ręcznie! Jeśli podczas dokonywania transakcji wpiszesz zły numer portfela BTC, twoje pieniądze zostaną utracone. Dlatego, jeśli to konieczne, wydrukuj potrzebny numer portfela BTC lub korzystaj ze skanera kodów QR na swoim smartfonie.

5. Jeśli nie jesteś pewien, że jesteś w stanie zrobić wszystko poprawnie za pierwszym razem, możesz podzielić pełną kwotę płatności na kilka transakcji BTC. Jak wspomniano powyżej, portfel BTC, którego potrzebujesz do dokonania płatności, został już dla ciebie specjalnie utworzony. Dlatego w każdej chwili możesz zobaczyć aktualne saldo i przypomnienie do zapłaty.

6. Pamiętaj, że niektóre usługi zakupu BTC mają opóźnienie w płatności. Opóźnienie może trwać od 24 do 36 godzin. Dlatego zalecamy, aby nie odkładać decyzji o płatności aż do ostatniej chwili. Brak zapłaty w terminie może skutkować wzrostem kwoty prowizji!!!

PEŁNY WYKAZ USŁUG, DZIĘKI KTÓRYM MOŻESZ ZAKUPIĆ WALUTĘ BITCOIN (BTC)

Zrzut ekranu strony internetowej Sage (strona testowa deszyfrowania):

Sage website (Test decryption)

Tekst prezentowany na tej stronie:

Aby przetestować deszyfrowanie prześlij plik testowy do odszyfrowania. Możesz przesłać jeden plik do 15 KB, aby przetestować deszyfrowanie

Zrzut ekranu strony internetowej Sage (strona z instrukcjami):

Sage website (Instructions)

Tekst prezentowany na tej stronie:

Instrukcje. Co zrobić po dokonaniu zapłaty? Jak odszyfrować wszystkie swoje dane?

Po dokonaniu płatności możesz pobrać oprogramowanie deszyfrujące ze strony głównej. Gwarantujemy, że wszystkie twoje pliki zostaną rozszyfrowane.

Wystarczy wykonać te proste kroki:

1. Zaloguj się na swojej stronie osobistej

2. Skopiuj klucz deszyfrujący z pola na stronie głównej

3. Kliknij przycisk "Pobierz oprogramowanie deszyfrujące" i zapisz Sage_Decryptor.exe na dysku twardym

4. Uruchom Sage_Decryptor.exe

5. Wklej klucz deszyfrujący do pola w oknie oprogramowania deszyfrującego

6. Kliknij przycisk "Uruchom deszyfrowanie" i zaczekaj na udane zakończenie procesu deszyfrowania

7. WAŻNE: Nie wyłączaj ani nie uruchamiaj ponownie komputera zanim proces zostanie zakończony!

8. Gratulacje! Teraz wszystkie twoje pliki zostaną odzyskane!

Zrzut ekranu strony internetowej Sage (strony wsparcia):

Sage website (Support)

Tekst prezentowany na tej stronie:

Prośby o wsparcie Zadaj swoje pytania. Jeśli nadal masz jakieś pytania dotyczące pracy naszego serwisu, skorzystaj ze specjalnego formularza, aby skontaktować się z naszym działem pomocy. Chętnie odpowiemy na wszelkie twoje możliwe pytania.

Zrzut ekranu plików zaszyfrowanych przez ransomware Sage (rozszerzenie ".sage"):

Sage decrypt instructions

Usuwanie ransomware Sage:

Szybkie menu:

Krok 1

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący jak uruchomić system Windows 10 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows 10 i wybierz ikonę Power. W otwartym menu kliknij „Restart" jednocześnie przytrzymując przycisk „Shift" a swojej klawiaturze. W oknie „Wybierz opcję" kliknij „Rozwiązywanie problemów", a następnie wybierz "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". W następującym oknie powinieneś kliknąć przycisk „F5 na swojej klawiaturze. To spowoduje ponowne uruchomienie twojego systemu operacyjnego w Trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Krok 2

Zaloguj się na konto zainfekowane wirusem Sage. Uruchom przeglądarkę internetową i pobierz legalny program antyspyware. Zaktualizuj oprogramowanie antyspyware i rozpocznij pełne skanowanie systemu. Usuń wszystkie wykryte wpisy.


DOWNLOAD
Program do usuwania .sage ów

Pobierając wymienione na tej stronie oprogramowanie zgadzasz się z naszą Polityką prywatności i Regulaminem. Wszystkie polecane przez nas produkty zostały dokładnie przetestowane i zatwierdzone przez naszych techników, jako jedne z najbardziej efektywnych rozwiązań dla usunięcia tego zagrożenia.

Jeśli nie możesz uruchomić komputera w trybie awaryjnym z obsługą sieci, spróbuj wykonać przywracania systemu.

Film pokazujący jak usunąć wirusa ransomware za pomocą "Trybu awaryjnego z wierszem polecenia" i "Przywracania systemu":

1. W trakcie procesu uruchamiania komputera, naciśnij klawisz F8 na klawiaturze tak wiele razy, aż pojawi się Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z wierszem polecenia z listy i naciśnij ENTER.

Boot your computer in Safe Mode with Command Prompt

2. Gdy ładuje się tryb wiersza poleceń, wprowadź następujący wiersz: cd restore i naciśnij ENTER.

system restore using command prompt type cd restore

3. Następnie wpisz tę linię: rstrui.exe i naciśnij ENTER.

system restore using command prompt rstrui.exe

4. W otwartym oknie kliknij przycisk "Dalej".

restore system files and settings

5. Wybierz jeden z dostępnych punktów przywracania i kliknij "Dalej" (spowoduje to przywrócenie systemu komputera do wcześniejszego stanu i daty przed zainfekowaniem twojego PC ransomware Sage).

select a restore point

6. W otwartym oknie kliknij przycisk "Tak".

run system restore

7. Po przywróceniu komputera do poprzedniej daty, pobierz i przeskanuj swój komputer zalecanym oprogramowaniem usuwania malware, aby wyeliminować wszelkie pozostałe pliki Sage.

Aby przywrócić pojedyncze pliki zaszyfrowane przez to ransomware, spróbuj użyć funkcji poprzednich wersji systemu Windows. Metoda ta jest skuteczna tylko wtedy, gdy funkcja przywracania systemu została włączona na zainfekowanym systemie operacyjnym. Zauważ, że niektóre warianty Sage są znane z usuwania kopii woluminów plików, więc ta metoda może nie działać na wszystkich komputerach.

Aby przywrócić plik, kliknij go prawym przyciskiem myszy, przejdź do Właściwości, wybierz kartę Poprzednie wersje. Jeśli odpowiedni plik ma punkt przywracania, zaznacz go i kliknij przycisk "Odzyskaj".

Restoring files encrypted by CryptoDefense

Jeśli nie możesz uruchomić swojego komputera w trybie awaryjnym z obsługą sieci (lub z wiersza polecenia), uruchom swój komputer przy użyciu dysku ratunkowego. Niektóre warianty ransomware wyłączają tryb awaryjny, przez co ich usunięcie jest skomplikowane. Na tym etapie wymagany jest dostęp do innego komputera.

Aby odzyskać kontrolę nad plikami zaszyfrowanymi przez Sage możesz również spróbować użyć programu o nazwie Shadow Explorer. Więcej informacji na temat korzystania z tego programu jest dostępne tutaj.

shadow explorer screenshot

Aby chronić komputer przed takim szyfrującym pliki ransomware należy użyć renomowanych programów antywirusowych i antyspyware. Jako dodatkowej metody ochrony użytkowników komputerów można użyć programów o nazwie HitmanPro.Alert i Malwarebytes Anti-Ransomware, które sztucznie implementują obiekty polityki grupy do rejestru w celu zablokowania programów nieuczciwych programów, takich jak Sage.)

HitmanPro.Alert CryptoGuard - wykrywa szyfrowanie plików i neutralizuje takie próby bez konieczności interwencji użytkownika:

hitmanproalert ransomware prevention application

Malwarebytes Anti-Ransomware Beta używa zaawansowanej proaktywnej technologii, która monitoruje aktywność ransomware i natychmiast ją zatrzymuje - zanim dotrze do plików użytkownika:

malwarebytes anti-ransomware

  • Najlepszym sposobem na uniknięcie zniszczenia spowodowanego infekcjami malware jest regularne tworzenie kopii zapasowych. Więcej informacji dotyczących rozwiązań kopii zapasowych online oraz odzyskiwania danych można znaleźć Tutaj.

Inne narzędzia znane z usuwania ransomware Sage:

Nasze przewodniki usuwania malware są bezpłatne. Jednak, jeśli chcesz nas wesprzeć, możesz przesłać nam dotację.