Sage 2.2 Ransomware

Sage 2.2 Ransomware

Die Sage 2.2 Ransomware ist eine aktualisierte Version der ursprünglichen Sage Ransomware. Dieses Schadprogramm hat den Zweck, Ihre Dateien mithilfe eines fortgeschrittenen Verschlüsselungsalgorithmus zu verschlüsseln und dann von Ihnen Geld für den Entschlüsselungsschlüssel zu verlangen. Sie sollten es jedoch entfernen, anstatt die Forderungen der Cyberkriminellen zu befolgen. Diese Ransomware kann Ihren Computer heimlich durch E-Mail-Spam infizieren und dann sofort damit anfangen, Ihre Dateien zu verschlüsseln.

Wenn diese Ransomware einen Computer infiziert, erstellt sie eine Kopie der Hauptdateien und legt sie in %APPDATA% ab. Dann löscht diese Ransomware die Originaldateien. Die Namen der kopierten Dateien werden auf der Grundlage von GUID erstellt, sodass sie in jedem Fall unterschiedlich sind. Die kopierten Dateien schließen eine .exe-Datei und eine .tmp-Datei ein. Diese Dateien werden jedoch mithilfe einer im %TEMP%-Ordner abgelegten Batch-Datei ebenfalls gelöscht, sobald die Verschlüsselung abgeschlossen ist. Während der Verschlüsselung erstellt die Sage 2.2 Ransomware eine Verknüpfung im Start-Ordner, um mit der Verschlüsselung fortfahren zu können, falls der Computer mitten in der Verschlüsselung neu gestartet wird. Sobald diese Ransomware gestartet wird, erstellt sie eine Opfer-ID (Schlüssel) und speichert sie in der .tmp-Datei. Dann führt sie die folgenden Dateien aus: „vssadmin.exe delete shadows /all /quiet“, „bcdedit.exe /set {default} recoveryenabled no“ und „bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures“.

Die Untersuchung hat gezeigt, dass diese Ransomware konfiguriert wurde, um viele Datei-Erweiterungen zu verschlüsseln, wie z. B. .doc, .docx, .mkv, .avi, .xls und so weiter. Die Ransomware beendet viele Prozesse, um auf die Dateien zuzugreifen und sie zu verschlüsseln. Sie hat auch eine Liste von Verzeichnissen, die sie auslässt. Sie verschlüsselt beispielsweise keine Dateien in Ordnern wie %AppData%, %Temp%, Programme (x86), Programme, System32, System Volume Information und einigen anderen. Außerdem verschlüsselt diese Ransomware keine Dateien, wenn die Standard-Tastaturbelegung auf Weißrussisch, Kasachisch, Ukrainisch, Usbekisch, Jakutisch, Russisch oder Lettisch eingestellt ist.

Wir haben festgestellt, dass die Sage 2.2 Ransomware die Verschlüsselungsalgorithmen Elliptic Curves und ChaCha20 verwendet. ChaCha20 wird verwendet, um den Inhalt jeder Datei zu verschlüsseln und ECC wird verwendet, um die zufallsgenerierten Schlüssel zu schützen. Jeder Schlüssel wird unter Verwendung von SystemFunction036 wiederhergestellt. Die Verschlüsselung ist vollständig, nachdem drei Zyklen abgeschlossen sind, was die Erstellung eines Opfer-IP im ersten Zyklus einschließt. Bei der Verschlüsselung der Dateien hängt diese Ransomware die „.sage“-Datei-Erweiterung an die Dateien an und ersetzt auch das Datei-Symbol. Die Sage 2.2 Ransomware stellt eine Verbindung mit dem Internet her und sendet Daten über UDP oder HTTP POST. Die Daten werden vor dem Absenden unter Verwendung von ChaCha20 verschlüsselt. Wenn es jedoch keine Verbindung gibt, wird sie dennoch ausgeführt, weil sie keine ständige Verbindung mit dem Command and Control Server benötigt.

Sobald die Verschlüsselung abgeschlossen ist, ersetzt diese Ransomware den Desktop-Hintergrund mit einem schwarzen Hintergrundbild, das einen Text enthält, der als Lösegeldforderung fungiert. Sobald die Verschlüsselung abgeschlossen ist, wird außerdem eine Datei namens !HELP_SOS.hta automatisch geöffnet. Sie enthält Anweisungen in mehreren Sprachen, einschließlich Englisch, Holländisch, Französisch und so weiter. Des Weiteren spielt die Sage 2.2 Ransomware eine gesprochene Mitteilung ab, die das Opfer über die Infektion informiert. Die Mitteilung enthält eine Verknüpfung zur Webseite für das Opfer. Die Mitteilung enthält einen einmaligen Schlüssel des Opfers, der verschlüsselt und mittels Base64 codiert ist. Dieser wird an das Command and Control Server gesendet. Um auf die URL zuzugreifen, die in der Lösegeldforderung angegeben ist, muss der Benutzer sich mit dem einmaligen Opferschlüssel anmelden. Dem Opfer wird dann eine Liste von Sprachen angeboten und das Opfer wird dann zu einer Seite weitergeleitet, die es auffordert, 99 USD bzw. 93 Euro zu bezahlen, was ca. 0,09 Bitcoins entspricht, weil die Entwickler ausdrücklich von Ihnen verlangen, dass Sie das Lösegeld in Bitcoins bezahlen. Die Sage 2.2 Ransomware bietet ihren Opfern die Möglichkeit, ein paar verschlüsselte Dateien zu entschlüsseln, die weniger als 15 KB groß sind, um sie davon zu überzeugen, dass es diese Ransomware ernst meint, und um ihnen zu versichern, dass die Dateien entschlüsselt werden können.

Sie sollten sich jedoch nicht darauf verlassen, dass diese Cyberkriminellen Ihre Dateien entschlüsseln werden. Wie Sie sehen können, ist die Sage 2.2 Ransomware eine äußerst schädliche Computer-Infektion, die mit der Absicht entwickelt wurde, dem Opfer Geld aus der Tasche zu ziehen. Diese Ransomware ist insbesondere sehr anspruchsvoll gestaltet und es gibt zurzeit kein kostenloses Entschlüsselungstool. Es gibt also keine kostenlose Methode, um Ihre Dateien wiederherzustellen. Wir raten Ihnen jedoch davon ab, das Lösegeld zu bezahlen und empfehlen Ihnen, ihre verbliebenen Junk-Dateien zu entfernen, indem sie die nachstehende Anleitung verwenden.

Wie man die Sage 2.2 Ransomware entfernt

  1. Drücken Sie die Tasten Win+E.
  2. Geben Sie die folgenden Dateipfade in die Adresszeile ein und drücken Sie die Eingabetaste.
    • %USERPROFILE%\My Documents
    • %TEMP%
  3. Finden Sie 1 Bild-, 3 .html- und 3 .txt-Dateien, die mit dieser Ransomware verbunden sind.
  4. Rechtsklicken Sie darauf undklicken Sie auf Löschen.
  5. Geben Sie dann %APPDATA% ein, drücken Sie die Eingabetaste und löschen Sie alle verdächtigen Dateien, die zufallsgenerierte Strings im Namen enthalten.
  6. Geben Sie %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\Startup ein und drücken Sie die Eingabetaste.
  7. Finden Sie die Verknüpfung und löschen Sie sie.

Antwort schreiben