Sage Ransomware

Sage Ransomware

Die Schadanwendung Sage Ransomware hat diesen Namen erhalten, weil sie den Dateien, die sie verschlüsselt, die sage-Dateinamenerweiterung anfügt. Ja, genau wie bei einer Reihe anderer Bedrohungen, die in die Kategorie von Ransomware-Infektionen eingestuft wurden, verschlüsselt die Sage Ransomware Dateien mithilfe der RSA-4096-Verschlüsselung (zumindest wird dies in der Lösegeldforderung, die sie für die Benutzer hinterlässt, behauptet). Sie tut dies, um ein Lösegeld verlangen und unschuldigen Menschen Geld aus der Tasche ziehen zu können. Es gibt etliche Benutzer, die bereit sind, das Lösegeld im Austausch für das Entschlüsselungstool zu überweisen. Wir werfen diesen Benutzern nichts vor, weil diese Bedrohung wirklich eine Reihe von verschiedenen Dateien verschlüsselt, d. h. alle Daten, die sich im %USERPROFILE%-Verzeichnis und seinen Unterordnern sowie im %HOMEDRIVE% befinden. Obwohl diese Ransomware-Infektion einen starken Verschlüsselungsalgorithmus verwendet und es wahrscheinlich nicht mehr möglich ist, ohne den speziellen Schlüssel auf Bilder, Dokumente und andere wichtige Dateien zuzugreifen, raten die Forscher, die bei entfernenspyware.de arbeiten, davon ab, Cyberkriminelle Geld zu senden. Sie raten davon ab, weil sie genau wissen, was geschehen könnte – es wäre möglich, dass der Schlüssel dem Benutzer nicht wie versprochen geschickt wird.

Benutzer tragen dazu bei, dass die Sage Ransomware in den Computer hineingelangt. Wie sich herausgestellt hat, führen sie einen schädlichen Anhang aus, den sie in einer Spam-E-Mail finden. Dann speichert sich diese Bedrohung selbst in das %APPDATA%-Verzeichnis. Sie verwendet einen zufallsgenerierten Namen, doch zweifellos hat diese Datei eine .exe-Dateinamenerweiterung, wie z. B. nDhy8EZN.exe. Danach beginnt sie, die personenbezogenen Daten zu verschlüsseln (z. B. Folien, Dokumente, Videos und Musik), die auf dem Computer gespeichert sind. Sobald alle Dateien die .sage-Dateinamenerweiterung erhalten, richtet sie ihr eigenes Bild als Desktop-Hintergrund ein (dieses .bmp-Bild befindet sich in %TEMP%) und legt die Lösegeldforderungen (!Recovery_QXes1s.txt und !Recovery_QXes1s.html) drei Mal in %TEMP%, %USERPROFILE%\Dokumente und auf dem Desktop ab. Es wird auch eine Autostart-Verknüpfung in %ALLUSERSPROFILE%\Startmenü\Programme\Startup für die Lösegeldforderung mit der Erweiterung .html erstellt, sodass sie automatisch für einen Benutzer geöffnet wird, wenn das Windows-Betriebssystem startet.

Benutzer, die sich eine der Lösegeldforderungen ansehen, finden sofort heraus, was mit Ihren Dateien geschehen ist, weil sie die folgende Erklärung enthält: „All your files, images, videos and databases where have been encrypted and no longer accessible by software known as Sage!“ („Alle Ihre Dateien, Bilder, Videos und Datenbanken wurden von einer Software, die als Sage bekannt ist, verschlüsselt, und es kann nicht mehr auf sie zugegriffen werden!“). Darin steht auch, dass innerhalb einer bestimmten Zeitspanne ein Lösegeld in Höhe von 93 USD (0,1237 Bitcoin) „für die Entschlüsselung“ bezahlt werden muss. Wenn diese Zeit abläuft und die Cyberkriminellen die Zahlung nicht erhalten, wird das Lösegeld verdoppelt (186 USD). Wenn der Benutzer immer noch nichts unternimmt, wird der Entschlüsselungsschlüssel blockiert und ist laut Lösegeldforderung nicht mehr verfügbar. Wir wissen, wie dringend Sie Ihre Dateien zurückerlangen müssen, und dass das Lösegeld, das die Sage Ransomware verlangt, nicht sehr hoch ist, aber wir halten es dennoch nicht für ratsam, die Cyberschurken zu bezahlen. Natürlich haben Sie in diesem Fall das letzte Wort, aber unserer Meinung nach sollten Sie alternative Daten-Wiederherstellungsmethoden ausprobieren. Zum Beispiel können Sie die verschlüsselten Dateien problemlos von einer Sicherungskopie wiederherstellen (das ist nur möglich, wenn die Sicherungskopie vor dem Eintritt dieser Ransomware-Infektion erstellt wurde und auf einem externen Speichermedium gespeichert wurde, wie z. B. einem USB-Stick). Eine Drittanbieter-Wiederherstellungsanwendung kann Ihnen möglicherweise ebenfalls helfen, d. h. das wäre auch einen Versuch wert. Wenn Sie sich entscheiden, den Cyberkriminellen Geld zu senden, müssen Sie darauf gefasst sein, Ihr Geld zu verlieren, weil es oft vorkommt, dass der Entwickler der Ransomware-Infektion das Entschlüsselungstool nicht im Austausch für die Zahlung schickt, auch wenn in der Lösegeldforderung steht, dass dies gleich nach der Überweisung des Geldes gemacht werden würde.

Wir wollen nun ein paar Worte zur Verbreitung der Sage Ransomware sagen, bevor wir mit dem Löschverfahren beginnen. Die Untersuchung hat klar gezeigt, dass diese datei-verschlüsselnde Bedrohung sich überhaupt nicht von denjenigen Ransomware-Infektionen unterscheidet, die vor einiger Zeit in Umlauf gebracht wurden, wie z. B. die CryptoWire Ransomware, NMoreira Ransomware und Kangaroo Ransomware, obwohl sie erst vor Kurzem in Umlauf gebracht wurde: Sie verschlüsselt Dateien, führt Änderungen im infizierten Computer durch und wird auch in erster Linie über Spam-E-Mails verbreitet. Es ist offensichtlich, dass sie in diesen Spam-E-Mails in der Regel als ein legitim aussehender Anhang in Erscheinung tritt. Halten Sie sich von Spam-E-Mails, die Sie erhalten, fern, wenn Sie nicht wieder einige personenbezogene Dateien verschlüsselt vorfinden wollen. Außerdem empfehlen Sicherheitsexperten, ein Sicherheitstool zu installieren, um Schadsoftware daran zu hindern, sich in den Computer hineinzuschleichen.

Da die Sage Ransomware verschiedene Dateien in den infizierten Computer speichert, ist es nicht so einfach, sie manuell zu löschen. Wahrscheinlich lesen Sie diesen Artikel, weil Sie nicht wissen, wo Sie beginnen sollen, weshalb Experten die Anleitung zur manuellen Entfernung für Sie vorbereitet haben. Sie können sie nach diesem Artikel finden. Wenn Sie dennoch nicht damit zurechtkommen, scannen Sie Ihren Computer mit einem automatischen Malware-Entferner, wie z. B. SpyHunter. Sie wird diese Dateien der Ransomware-Infektion in wenigen Sekunden aus den Verzeichnissen %APPDATA%, %TEMP%, %USERPROFILE%\Dokumente und %ALLUSERSPROFILE%\Startmenü\Programme\Startup entfernen. Beachten Sie, dass die verschlüsselten Dateien leider gesperrt bleiben.

Löschen der Sage Ransomware

  1. Löschen Sie die Lösegeldforderungen .bmp (zufallsgenerierter Name, z. B. QXes1s.bmp), .txt (!Recovery_QXes1s.txt), und .html (!Recovery_QXes1s.html) vom Desktop.
  2. Drücken Sie Win+E.
  3. Gehen Sie zu %TEMP% und %USERPROFILE%\Dokumente (kopieren Sie das Verzeichnis in das URL-Feld hinein).
  4. Wiederholen Sie den 1. Schritt.
  5. Löschen Sie dieDatei {Zufallsgenerierter Name}.exe aus %APPDATA%.
  6. Gehen Sie zu %ALLUSERSPROFILE%\Startmenü\Programme\Startup.
  7. Finden Sie die Autostart-Verknüpfung (sie hat einen zufallsgenerierten Namen, z. B. 81f9akq7.lnk), die von der Ransomware-Infektion erstellt wurde, und löschen Sie sie.
  8. Entfernen Sie die Schaddatei, die Sie ausgeführt haben (sie könnte sich bereits selbst gelöscht haben).
  9. Leeren Sie den Papierkorb.
  10. Starten Sie den Computer neu.

Antwort schreiben