Sage新型敲詐病毒分析

2017年3月1日，最近有新的網友聯系中了新的病毒，后綴變為sage.

 

                          

 

　　並且你會發現桌面變了，而且每個文件夾下都有一個!HELP_SOS.hta文件，打開這個文件，顯示一個勒索頁面

 

      

 

　　如果看到這兒，跟我說的基本相同，那么你很不幸就是中了saga2.2病毒.

　　sage勒索病毒簡介

　　名稱Sage 2.2

　　類型Ransomware

　　簡短的介紹這個勒索軟件感染是Sage 2.0勒索軟件的更新版本。 加密受感染計算機上的文件，並要求用戶訪問基於TOR的網頁以獲取進一步的說明。

　　症狀用戶可以看到贖金票據，命名為!HELP_SOS.hta ，計算機上的重要文件可以用加上的掛鎖圖標加密。

　　分配方法通過利用工具包，Dll文件攻擊，惡意JavaScript或惡意軟件本身的驅動器下載以模糊的方式。

　　1、Sage 2.2 Ransomware - 它如何感染電腦

　　對於感染過程，此版本的Sage勒索軟件可能會使用包含欺騙性消息的惡意電子郵件垃圾郵件。 消息可以是各種類型，並且旨在說服潛在的受害者打開這些電子郵件的惡意.zip文件附件。 可用於感染Sage 2.2的欺騙性主題的示例有：

　　§ “您的PayPal交易已完成。

　　§ “您的網上銀行帳戶可疑活動。 (銀行名)”。

　　§ “您的發票。

　　可能有許多其他電子郵件感染了Sage勒索軟件，他們都可能攜帶檔案作為文件附件。 檔案可以是隨機命名的，例如“6207_ZIP.zip” 。 在.zip文件中，有兩種類型的文件導致感染：

　　§ 一個JavaScript .js文件，在打開后立即導致感染。

　　§ Microsoft Office文檔.doc文件，當您單擊“啟用內容”按鈕以啟用宏時，該文件會導致感染。 這些宏在其中具有惡意腳本。

　　2、Sage 2.2 Ransomware - 感染后發生了什么

　　在用戶PC被Sage 2.2病毒感染之后，可以使用不安全的端口連接到網絡罪犯分發站點並在受感染的計算機上下載有效載荷。

　　Sage 2.2勒索軟件的有效負載包括多個可執行文件和臨時文件，它可能包含一個.dll類型的模塊，它還包含Sage 2.2勒索軟件的Wallapaper和它的“解密指令” 。 此贖金注釋也稱為“!HELP_SOS.hta” ，打開就看到上面我發的截圖內容了。

　　3、Sage 2.2 Ransomware - 加密分析

　　關於文件的加密，Sage 2.2勒索軟件使用強加密算法。 此密碼會使受感染計算機上的文件無法打開。 病毒攻擊

　　“PNG .PSD .PSPIMAGE .TGA。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF編碼文件.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio檔案.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視頻文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。ICNS .ICO .LNK .SYS .CFG“

　　一旦Sage 2.2病毒檢測到在受感染的計算機上有這種類型的文件，它會立即使它們無法再打開，並將.sage文件擴展名添加到文件中。 除了文件的加密之外，Sage Ransomware病毒還可以刪除受感染計算機的影子卷拷貝。 執行此操作以通過管理命令(稱為vssadmin)銷毀恢復它們的任何可能性。

　　最后，想跟大家說的是，這個病毒跟cerber病毒類似，暫時還沒有特別好的破解方法。我們最重要的是備份文件，如果已經中毒，衡量文件重要性決定是否支付。我們並不建議大家支付。如果數據重要可以等到解密方案公布，例如之前的cerber加密病毒解密一樣。卡巴斯基已經更新了部分敲詐病毒的解密軟件，有需要的可以下載試用一下。

      更多數據恢復技術持續更新中：

      希貝軟件網站：www.mp4recovery.cn