Den første version af Sage crypto-virus blev opdaget af vores forskningsgruppe 7. december 2016. Omkring 2 måneder efter at vi udgav vores artikel om den, blev der fundet endnu en tilføjelse til Sage-truslen. Den første version var ikke en banebrydende infektion, for den påvirkede ikke et stort antal internetbrugere. Vi gætter på, at den foregående version var en slags testkørsel, eftersom den nuværende, aktive version er langt mere udstyret til at suge enhederne ind i en tornado af kryptering. Sage 2, efterfølgeren til Sage, forsøger at inficere enhederne ved hjælp af en spam-kampagne. E-posten, som lander i indbakken, har ikke nogen tekst, som forklarer grunden til, at du har modtaget den. Den indeholder simpelthen blot en vedhæftning. Titlerne på filerne giver heller ikke nogen speciel mening, hvilket gør modtagerne ret forvirret. Hvis du bemærker en vedhæftning, der kaldes EMAIL_[number combination]_[recipient].zip eller bare [number combination].zip, så skal du slette e-mailen og køre en fuld sikkerhedsscanning, så du kan være sikker på, at dit system ikke bliver kompromitteret af en malware-infektion.
Sage 2 ransomware 101: vigtige bemærkninger
Når brugerne har downloadet .zip-filen fra den skadelige spam-post, vil Sage 2 virus ikke begynde sin aktivitet med det samme. Hackerne, der har designet denne infektion, har måske tænkt, at det nogle gange er nødvendigt at narre brugeren og lade vedkommende tro, at filen ikke har taget kontrol over enheden. Dokumenterne, som bliver downloadet fra e-mailen, vil anbringe et installationsprogram, som tilhører Sage 2 virus, og det vil sætte denne infektion i fuld gang.
Når der er gået et passende stykke tid, vil denne trussel vise en Brugerkonto-kontroloversigt, som gør 2 mærkelige programmer i stand til at foretage ændringer i det inficerede system. Derefter vil programmerne Cmd.exe og EobUtylp ikke tøve med at sætte gang i tingene, og de søger straks efter filer, som er egnet til kryptering. Ligesom ved den foregående version forventer man, at Sage 2 bruger AES-algoritme til at ødelægge filerne, men man har endnu ikke fundet den nøjagtige kryptering. Da denne version finder over 500 filtyper, som det kan kryptere, er vi sikre på, at det ikke vil støde på problemer i løbet af datascanningen. Det kan kryptere filer, som har de mest populære udvidelser, men det kan også påvirke data med de mere usædvanlige af slagsen. Hver fil får vedhæftet en .sage udvidelse. Sage 2 fjerner smart nok også alle Shadow Volume kopier, som ellers ville kunne hjælpe med dekrypteringen.
En HTML-fil kaldet !Recovery_[3_random_chars] informerer om situationen og råder en til at downloade TOR-browseren, for at man kan få adgang til Sage 2 betalingssiden. På den hjemmeside vil man blive informeret om pengebeløbet, som man skal betale for den forløsende dekrypteringsnøgle, samt tidsfristen. Og man vil blive truet med, at den unikke dekrypteringskode bliver blokeret, hvis man ikke betaler beløbet. Det hævdes endvidere, at Sage2Decryptor.exe vil være til rådighed, når man har betalt det heftige beløb. Og hvis man ikke forstår dekrypteringsprocessen, tilbyder betalingssiden en trin-for-trin vejledning for at gøre processen nemmere. Det kan virke ganske praktisk, men du må endelig ikke glemme, at udviklerne af dette ransomware har invaderet dit privatliv på væmmelig vis. Derudover kan man også kontakte disse lyssky programmører via en ”Support” – sektion. Men du skal hverken tigge eller bede dem om nåde, for disse hackere er ligeglade med dine problemer.
Sage 2 ransomware og dekryptering: hvad er dine muligheder?
Sage 2 krypto-virus er en trussel, som sikkereksperterne indtil videre ikke har kunnet overvinde. Endnu! Der vil muligvis meget snart blive udgivet et gratis dekrypteringsprogram, så du må endelig ikke betale de 2000 dollars i form af BTC, som hackerne kræver (ca. 2.14696 BTC). Det er ikke nemt at tjene penge, og det er godt nok spild af penge at betale så meget for fil-dekryptering. Endvidere vil man kun have 7 dage til at betale det beløb. Hvis tiden udløber og man ikke har betalt det påkrævet beløb, så vil det blive fordoblet til 4000 dollars. Og hvis man stadig ikke betaler pengene, vil hackerne blokere dekrypteringskoden, så filerne vil være ubrugelige for altid. Ikke desto mindre holder vi fast i, at det ikke er nødvendigt at betale løsesummen. Du skal lave kopier af de inficerede data og fjerne Sage 2 virus fra dit system. Og for fremtiden skal du huske at gemme dine filer i sikkerhedskopilagre eller andre steder, hvor et ransomware ikke kan trænge ind.
Hvordan kan du undgå Sage 2 ransomware?
Ligesom mange aktive ransomwarevirusser følger Sage 2 infektionen med spampost. Hvis du modtager en besked fra en ukendt afsender, skal du aldrig åbne den, for det kan føre til en infektion med en ransomwarevirus. Især hvis du downloader de vedhæftninger, der følger med. Hvis du bemærker den slags post i din indbakke, skal du slette det. Hvis du meget gerne vil fjerne Sage 2 virus, bør du anvende et effektivt anti-malwareprogram, som kan finde og fjerne det. Reimage, Spyhunter eller Malwarebytes kan hjælpe dig med at fjerne Sage 2 virus og blive fri for virusser fremover. Læs det følgende afsnit om den manuelle fjernelse samt dekryptering.
Sage 2 Ransomware hurtige links
- Sage 2 ransomware 101: vigtige bemærkninger
- Sage 2 ransomware og dekryptering: hvad er dine muligheder?
- Hvordan kan du undgå Sage 2 ransomware?
- Automatiske fjernelsesværktøjer til Malware
- 1. Hvordan fjernes Sage 2 ransomware ved hjælp af systemgendannelse?
- Genstart din computer i Fejlsikret tilstand med kommandoprompt
- Gendan systemfiler og indstillinger.
- 2. Fuldfør fjernelsen af Sage 2 ransomware
- 3. Gendan filer, der er påvirket af Sage 2 ransomware, ved hjælp af Shadow Volume Kopier
Automatiske fjernelsesværktøjer til Malware
(Win)
Bemærk: Denne Spyhunter-prøveversion tilbyder gratis at finde parasitter, såsom Sage 2 Ransomware, samt hjælpe med deres fjernelse. begrænset prøveversion tilgængelig, Terms of use, Privacy Policy, Uninstall Instructions,
1. Hvordan fjernes Sage 2 ransomware ved hjælp af systemgendannelse?
Genstart din computer i Fejlsikret tilstand med kommandoprompt
I Windows 7 / Vista / XP
- Start → Sluk → Genstart → OK
- Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
- Vælg Fejlsikret tilstand med kommandoprompt.
I Windows 8 / 10
- Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
- Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
- Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.
Gendan systemfiler og indstillinger.
- Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
- Tast derefter rstrui.exe og tast Enter igen.
- Klik ”næste” i vinduet, er der kommet frem.
- Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Sage 2 virus trængte ind i dit system, og klik derpå ”Næste”.
- For at starte Systemgendannelse klik ”Ja”.
2. Fuldfør fjernelsen af Sage 2 ransomware
Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Sage 2 virus.
3. Gendan filer, der er påvirket af Sage 2 ransomware, ved hjælp af Shadow Volume Kopier
Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Sage 2 virus prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.
Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.
a) Native Windows Tidligere VersionerHøjre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.
Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.
Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.