Sage Ransomware - Hvordan fjernes det?

Sage ransomware er navngivet fra en kildekode, som er koden fra TeslaCrypt. Den er en af de mange krypterende trojanske virusser, men selvom Sage krypto-malware ikke har nogle særlige funktioner, betyder det ikke, at det er en mindre truende it-pest. Navnet på denne ransomware-trussel passer til den programkode, den betegner så perfekt – fronten af sikkerhedseksperter har endnu ikke fundet en dekrypteringsmetode. Indtil videre er brugerne velkomne til at finde ud af, hvad man allerede har fundet ud af om den filkrypterende Sage virus.

Specifikationerne for Sage Ransomware

Sage crypto-locker anvender en asymmetrisk krypteringsplan for at gøre datalagrene på den kompromitterede maskine ubrugelige. De følgende typer datafiler kan krypteres af dette krypterende malware:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, .conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, .doc, .epub, .docx, .fb2, .flv, .gif, .gz, .iso, .ibooks, .jpeg, .jpg, .key, .mdb, .md2, .mdf, .mht, .mobi, .mhtm, .mkv, .mov, .mp3, .mp4, .mpg, .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt, .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2

Udvidelserne på de pågældende filer får vedhæftet en ekstra udvidelse, som er navnet på det krypterende program. Når f. eks filen Movie.avi bliver krypteret, bliver den kaldt for Movie.avi.sage. Det samme bliver gjort med alle de målrettede filer, som er låst. Efter at alle de udsatte data er blevet krypteret, hvilket betyder, at krypteringsprocessen er overstået, vil den ramte bruger få følgende to filer:

!Recovery_[your ID].txt og !Recovery_[your ID].html, der omfatter følgende løsesumsbesked:

OBS!

Sage har krypteret alle dine filer!

Alle dine filer, billeder, videoer samt databaser er krypteret og gjort utilgængelige af et software kendt som Sage.

Du har ikke mulighed for at gendanne filerne uden vores hjælp. Men hvis du følger vores instrukser, kan filerne nemt gendannes. Vejledningen, der beskriver, hvordan du får dine filer tilbage, er lagret i hver disk, i dine dokumenter og på dit skrivebord. Se efter filerne !Recovery_[your ID].txt og !Recovery_[your ID].html

Hvis du ikke kan finde disse filer, brug programmet ”Tor Browser” (du kan finde det med Google) for at få adgang til (onion)hjemmesiden http://qbxeaekvg7o3lxnn.onion, hvor du finder dine instrukser

Udviklerne af Sage fil-locker forventer, at ofrene betaler en løsesum, der svinger mellem 560 og 1120 dollars. Det første beløb er startbetalingen, og det andet beløb er den pris, de plagede brugere skal betale en uge efter krypteringen.

Er du blevet ramt af Sage Ransomware?

Vi vil hermed forklare, hvad du skal gøre, hvis din computer er inficeret med infektion Sage ransomware. Først er du nødt til at lave et billede af de ramte data. Hvis ingen af de følgende datagendannelsesmetoder passer til din situation, bliver du nødt til at vente på et dekrypteringsprogram fra sikkerhedseksperterne, hvortil du skal bruge disse kopier. Derefter skal du fjerne ransomwareprogrammet. Antivirusprogrammerne Reimage, Spyhunter og Malwarebytes skulle kunne overvinde Sage virus. Du kan finde den manuelle fjernelsesvejledning i slutningen af artiklen, men den kan være ret vanskelig at bruge. Endvidere kan der udover det egentlige ransomware være yderligere malwareprogrammer installeret i systemet, som der ikke vil blive taget højde for, hvis du har til formål at fjerne malwareprogrammet manuelt. Derudover vil din pc stadig mangle beskyttelse, og lignende infektioner kan forekomme.

Først efter at du har fjernet malwareprogrammet, skal du gendanne dine data. Til det formål skal du tjekke VSS (tjenesten Volume Shadow Copy), om den har kørt, og om denne systemgendannelsesfunktion ikke er påvirket. Brug de flytbare drev, hvis de ikke var tilsluttet i løbet eller efter infektionen, før fjernelsen af virussen. Hvis du har gemt dine data på en online lagerplads, så gør brug af den. Der findes også datagendannelsessoftware, såsom Recuva osv., som kan anvendes.

Kilden til Sage ransomware er endnu ikke identificeret. Så du skal derfor være meget forsigtig, især hvis du ikke har et opdateret og pålideligt sikkerhedssoftware på din enhed. De almindelige kilder til ransomware-infektioner er spam e-mails, falske downloads, kompromitterede websider og inficerede annoncer.

Opdatering pr. 24. januar 2017. Man har fundet en ny version af dette ransomware, der vedhæfter den samme udvidelse (.sage). Sage 2 anvender den samme betalingsside, men har forbedret sin distribution, eftersom den sigter efter flere brugere end før. Følger med spam-post.

1. Hvordan fjernes Sage Ransomware ved hjælp af systemgendannelse?

Genstart din computer i Fejlsikret tilstand med kommandoprompt

I Windows 7 / Vista / XP

• Start → Sluk → Genstart → OK
• Tast F8 uafbrudt, indtil vinduet med Avancerede startindstillinger dukker op.
• Vælg Fejlsikret tilstand med kommandoprompt.

I Windows 8 / 10

• Tast Power på Windows log ind skærmen. Tast og hold derpå Shift tasten nede og klik Genstart.
• Vælg Fejlfinding → Avancerede Indstillinger → Opstartsindstillinger og klik Genstart.
• Når den indlæses, vælg Aktiver Fejlsikret tilstand med kommandoprompt fra listen i Opstartsindstillinger.

Gendan systemfiler og indstillinger.

• Når Kommandoprompt tilstanden indlæses, tast cd gendannelse og tast Enter.
• Tast derefter rstrui.exe og tast Enter igen.
• Klik ”næste” i vinduet, er der kommet frem.
• Vælg et af gendannelsespunkterne, der er tilgængelige fra før, Sage Ransomware trængte ind i dit system, og klik derpå ”Næste”.
• For at starte Systemgendannelse klik ”Ja”.

2. Fuldfør fjernelsen af Sage Ransomware

Efter at du har gendannet dit system, anbefales du at scanne din computer med et anti-malware program, såsom Reimage, Spyhunter for at fjerne alle de ondsindede filer, der har forbindelse med Sage Ransomware.

3. Gendan filer, der er påvirket af Sage Ransomware, ved hjælp af Shadow Volume Kopier

Hvis du ikke anvender Systemgendannelsesindstillingen i dit operativsystem, er der mulighed for, at du kan bruge Shadow Copy øjebliksbilleder. De lagrer kopier af dine filer på det tidspunkt, hvor øjebliksbilledet for systemgendannelsen blev oprettet. Sage Ransomware prøver som regel på at slette alle mulige Shadow Volume Kopier, så denne metode virker nok ikke på alle computere. Men det kan være, at virussen ikke har held med det.

Shadow Volume Kopier er kun tilgængelige med Windows XP Service Pack 2, Windows Vista, Windows 7 samt Windows 8. Du kan få dine filer tilbage via Shadow Volume Kopier på to måder. Du kan gøre det ved hjælp af native Windows Tidligere Versioner eller via Shadow Explorer.

a) Native Windows Tidligere Versioner

Højre-klik på en krypteret fil og vælg Egenskaber>Tidligere versioner fanen. Nu vil du kunne se alle tilgængelige kopier af den pågældende fil og tidspunktet, da den blev lagret i en Shadow Volume Kopi. Vælg den filversion, du gerne vil have tilbage og klik Kopier, hvis du gerne vil gemme den i en af dine egne mapper, eller Gendannelse, hvis du gerne vil erstatte den eksisterende, krypterede fil. Hvis du gerne vil se indholdet af filen først, skal du bare klikke Åbn.

b) Shadow Explorer

Det er et program, der findes gratis på internettet. Du kan downloade enten en fuld eller transportable version af Shadow Explorer. Åbn programmet. I øverste venstre hjørne skal du vælge det drev, hvor filen, du leder efter, er lagret. Du vil kunne se alle mapper i det drev. For at få en hel mappe tilbage, skal du højre-klikke på den og vælge ”Eksporter”. Vælg derefter, hvor du gerne vil lagre den.

Bemærk: I mange tilfælde er det umuligt at gendanne datafiler, der er påvirket af moderne ransomware. Derfor anbefaler jeg, at du anvender et ordentlig cloud sikkerhedskopieringssoftware som sikkerhedsforanstaltning. Vi kan anbefale Carbonite, BackBlaze, CrashPlan eller Mozy Home.