Sage 2 Ransomware - Hur Tar Man Bort?

 

Den första versionen av Sage crypto-virus upptäcktes av vår forskargrupp den 7:e december 2016. Knappt två månader efter att vi släppte vår artikel om det, upptäcktes en ny utgåva av Sage hotet. Den primära versionen var inte en banbrytande infektion då det inte påverkade ett enormt antal användare online. Vår gissning är att den första utgåvan mer var ett test, eftersom den versionen som nu är aktiv är betydligt mer kapabel att dra in enheter i en tornado av kryptering. Sage 2 är fortsättningen av Sage 1 och kommer försöka infektera enheter via skräppost-kampanjer. E-postmeddelandena som kan nå användare har ingen text som förklarar orsaken till varför det mottagits, det innehåller endast en bifogad fil. Titlar av dessa filer indikerar inte någon specifik mening heller, vilket lämnar mottagaren full av frågor. Om det händer att du lägger märke till en bifogad fil vid namn EMAIL_[number combination]_[recipient].zip eller endast [number combination].zip, vänligen ta bort e-postmeddelandet och genomför en full säkerhetskontroll för att säkerställa att ditt system inte äventyras av en skadeinfektion.

Sage 2 ransomware 101: viktiga aspekter av det

Efter att användare laddat ned -zip filen från ett skräppostmeddelande, kommer Sage 2 virusets skadliga aktivitet att vänta lite med sitt utförande. Eventuellt har kaparna utvecklat infektionen tänkt att det krävs lite tid för att lura användarna och få personen att tro att den startade filen inte utövade någon kontroll över enheten. Dokument som laddas ned från brevet kommer placera en installatör som tillhör Sage 2 viruset, den kommer senare leda till att infektionen kan fungera fullständigt.

Efter att tillräckligt med tid har passerat kommer hotet visa ett användarkonto med kontrollbord som krävs för att tillåta två bizarra program att utföra ändringar i det infekterade systemet. Sedan kommer Cmd.exe och EobUtylp programmen inte tveka att kicka igång allt och kommer även att omgående söka efter filer som är potentiella för kryptering. Precis som föregående version av Sage 2 kommer det här exemplet använda sig av AES algoritm för att förstöra filerna, men den aktuella chiffern är inte helt fastställd. Eftersom den här versionen kan finna över 500 olika filer som passar för kryptering, så kan vi vara säkra på att det inte kommer stöta på några hinder under processen med att leta efter data. Det kan koda filer med de mest populära filändelserna, men även påverka mer ovanliga filer. Filändelsen .sage läggs till på varje krypterad fil. Sage 2 kommer även klokt bli av med Shadow Volume kopior som kan vara ett hinder för krypteringen.

En HTML fil kallad !Recovery_[3_random_chars] kommer tillhandahålla information om situationen och föreslå användare att ladda ned webbläsaren TOR för att få tillgång till Sage 2’s betalningssida. På den här hemsidan kan användare informeras om summan pengar som skall skickas för att få den livsräddande dekrypteringsnyckeln. Tidspress och hot om att blockera den unika nyckeln är också en del i det hela om offren inte betalar dom pengar. Sage2Decryptor.exe sägs bli tillgänglig efter att offret har betalat den stora lösensumman: ifall de inte förstår hur processen med dekrypteringen ges steg-för-steg instruktioner ur på hemsidan för att förenkla det hela. Detta kan se ut som en behaglig egenskap, men du bör inte glömma bort att utvecklarna av detta ransomware har på bedrägligt sätt invaderat din integritet. Dessutom kan användare kontakta dessa bedrägliga programmerare via deras ”support” sektion. Försök inte böna och be efter nåd då dessa kapare inte har någon som helst omtanke för dina problem.

Sage 2 ransomware och dekryptering: vad kan du göra?

Krypteringsviruset Sage 2 är ett hot som säkerhetsforskare inte lyckats besegra än. Det finns en möjlighet att en gratis dekrypterare släpps ganska snart, så du bör inte betala kravet på 2000 USD i BTC-valuta (för tillfället 2,14696). Det är svårt att tjäna pengar och att då slösa dessa på en dekrypterare låter som ett rent slöseri. Dessutom får du endast 7 dagar på dig att skicka den här lösensumman. Om timern når noll och offret inte betalar den begärda lösensumman, då kommer den att dubblas till 4000 USD. Om offret fortsätter med att inte betala kommer kaparna att blockera dekrypteringsnyckeln så din data blir föralltid förlorad. Trotts detta står vi fast i att du inte skall betala lösensumman. Du bör göra kopior på din infekterade data och ta bort Sage 2 viruset från ditt system. I framtiden bör du komma ihåg att lagra dina filer på en backup-enhet eller plats så att ransomwares inte har möjligheten till kontroll.

Vet du vad du bör undvika och hur du håller dig säker från Sage 2 ransomware?

Som många aktiva ransomware virus distributeras Sage 2 infektionen via skräppost. Om du får ett meddelande från en okänd avsändare bör du aldrig tillåta dig själv att frivilligt öppna dessa, de kan nämligen leda till en infektion av ett ransomware. Detta kan speciellt bli en verklighet om du laddar ned bifogat innehåll som finns inuti meddelandet. Efter att lagt märke till sådana tecken i din inbox, radera det då omgående. Om du är intresserad av att ta bort Sage 2 viruset bör du använda dig av ett kraftfullt anti-skadeprogram som kan hitta och förgöra det. Läs gärna följande sektioner om en manuell borttagning och dekryptering. Reimage, Spyhunter eller Malwarebytes kan också hjälpa dig ta bort Sage 2 viruset och hålla dig säker från virus i framtiden.

Hur du tar bort Sage 2 ransomware genom systemåterställning:

Starta om din dator i Felsäkert Läge med Kommandotolken


För Windows 7/ Vista/ XP
  • Start -> Stäng av -> Starta om -> OK.
  • Tryck på F8 upprepade gånger tills uppstartsalternativen visas.
  • Välj Felsäkert Läge med Kommandotolken. Windows 7 enter safe mode

För Windows 8/ 10
  • Tryck på Av/ På ikonen vid Windows inloggningssida. Tryck och håll sedan ned Shift knappen medans du klickar på Starta om. Windows 8-10 restart to safe mode
  • Välj Felsök -> Avancerade alternativ -> Startinställningar -> Starta om.
  • När det laddas upp, välj Aktivera Felsäkert Läge med Kommandotolken från listan med uppstartsalternativen.Windows 8-10 enter safe mode

Återställ systemfiler och inställningar.
  • När Kommandotolken laddar, skriv in CD Restore och tryck Enter.
  • Skriv sedan in Rstrui.exe och tryck Enter igen. CMD commands
  • Klicka på "nästa" i fönstret som visas. Restore point img1
  • Välj en av Återställningarna som finns tillgängliga innan Sage 2 virus infiltrerade datorn och klicka sedan på "nästa". Restore point img2
  • För att starta systemåtersällning, klicka "Ja". Restore point img3

2. Total borttagning av Sage 2 ransomware

Efter återställningen av din dator så rekommenderas det att genomsöka datorn med ett anti-skadeprogram som t.ex. Reimage, Spyhunter och ta bort alla skadliga filer som relaterar till Sage 2 virus.


3. Återställ Sage 2 ransomware påverkade filer med hjälp av Shadow Volume kopior

Om du inte använder dig av Systemåterställning med ditt operativsystem så finns det en chans att använda sig av så kallade Shadow Copy Snapshots. De lagrar kopior av dina filer till den tid då dessa skapades. Oftast försöker Sage 2 virus radera alla möjliga Shadow Volume kopior, så den här metoden fungerar inte på alla datorer. Dock kan skadan misslyckas.

Shadow Volume kopior finns endast tillgängliga på Windows XP Service Pack 2, Windows Vista, Windows 7 och Windows 8. Det finns två sätt att återfå dina filer via Shadow Volume kopior på. Du kan använda Windows egna tidigare versioner, eller Shadow Explorer.

a) Windows egna tidigare versioner

Högerklicka på en krypterad fil och välj Egenskaper ->Tidigare versioner. Nu ser du alla möjliga kopior av den specifika filen och tiden då den lagrades i en Shadow Volume kopia. Välj en version av filen du vill återfå och klicka på Kopiera om du vill spara den till en egen vald plats, eller så återställer du ifall du vill byta ut den nuvarande krypterade filen. Om du vill se innehållet av filen klickar du bara på "öppna".
Previous version

b) Shadow Explorer

Det är ett program som kan hittas på Internet gratis. Du kan ladda ned antingen en full eller en portabel version av Shadow Explorer. Öppna programmet. Vid vänsta hörnet högst upp väljer du enhet som filen du letar efter är lagrad. Du kommer att kunna se alla mappar på den enheten. För att återfå en hel mapp så högerklickar du på den och väljer "exportera". Välj sedan vart du vill ha den lagrad. Shadow explorer

OBS: I många fall så är det omöjligt att återställa datafiler som har påverkats av ett modernt Ransomware. Av den anledningen rekommenderar vi ett vettigt Moln-program för att ha en backup ifall att. Vi rekommenderar att du tar en titt på Carbonite, BackBlaze, CrashPlan eller Mozy Home.

 

Sage 2 ransomware skärmdumpar

 
     
 

Om författaren

 
mars 29, 2017 09:30, mars 29, 2017 09:30
 
   
 

Kommentera

E-postadressen publiceras inte. Obligatoriska fält är märkta *