选择语言:简体中文 | 繁體中文 | English
行业资讯   News
最新资讯   New
松下、索尼、佳能各种型号MX
bitlocker常见问题解
Bitlocker加密分区打
gopro运动摄像机视频恢复
海康威视监控视频恢复成功
索尼A7视频损坏修复成功
佳能机器断电后没有DAT文件
佳能760D视频删除恢复成功
联系我们   Contact

联系电话:18747295476

客服QQ:201044567

地址:内蒙古包头市九原区

邮件:support@mp4recovery.cn

网站:http://www.mp4recovery.cn

你的位置:首页 > 行业资讯 > 最新动态

Sage新型敲诈病毒分析

2017/4/13 13:57:01      点击:

  2017年3月1日,最近有新的网友联系中了新的病毒,后缀变为sage.


                          


  并且你会发现桌面变了,而且每个文件夹下都有一个!HELP_SOS.hta文件,打开这个文件,显示一个勒索页面


          


  如果看到这儿,跟我说的基本相同,那么你很不幸就是中了saga2.2病毒.

  sage勒索病毒简介

  名称Sage 2.2

  类型Ransomware

  简短的介绍这个勒索软件感染是Sage 2.0勒索软件的更新版本。 加密受感染计算机上的文件,并要求用户访问基于TOR的网页以获取进一步的说明。

  症状用户可以看到赎金票据,命名为!HELP_SOS.hta ,计算机上的重要文件可以用加上的挂锁图标加密。

  分配方法通过利用工具包,Dll文件攻击,恶意JavaScript或恶意软件本身的驱动器下载以模糊的方式。

  1、Sage 2.2 Ransomware - 它如何感染电脑

  对于感染过程,此版本的Sage勒索软件可能会使用包含欺骗性消息的恶意电子邮件垃圾邮件。 消息可以是各种类型,并且旨在说服潜在的受害者打开这些电子邮件的恶意.zip文件附件。 可用于感染Sage 2.2的欺骗性主题的示例有:

  § “您的PayPal交易已完成。

  § “您的网上银行帐户可疑活动。 (银行名)”。

  § “您的发票。

  可能有许多其他电子邮件感染了Sage勒索软件,他们都可能携带档案作为文件附件。 档案可以是随机命名的,例如“6207_ZIP.zip” 。 在.zip文件中,有两种类型的文件导致感染:

  § 一个JavaScript .js文件,在打开后立即导致感染。

  § Microsoft Office文档.doc文件,当您单击“启用内容”按钮以启用宏时,该文件会导致感染。 这些宏在其中具有恶意脚本。

  2、Sage 2.2 Ransomware - 感染后发生了什么

  在用户PC被Sage 2.2病毒感染之后,可以使用不安全的端口连接到网络罪犯分发站点并在受感染的计算机上下载有效载荷。

  Sage 2.2勒索软件的有效负载包括多个可执行文件和临时文件,它可能包含一个.dll类型的模块,它还包含Sage 2.2勒索软件的Wallapaper和它的“解密指令” 。 此赎金注释也称为“!HELP_SOS.hta” ,打开就看到上面我发的截图内容了。

  3、Sage 2.2 Ransomware - 加密分析

  关于文件的加密,Sage 2.2勒索软件使用强加密算法。 此密码会使受感染计算机上的文件无法打开。 病毒攻击

  “PNG .PSD .PSPIMAGE .TGA。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF编码文件.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio档案.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。ICNS .ICO .LNK .SYS .CFG“

  一旦Sage 2.2病毒检测到在受感染的计算机上有这种类型的文件,它会立即使它们无法再打开,并将.sage文件扩展名添加到文件中。 除了文件的加密之外,Sage Ransomware病毒还可以删除受感染计算机的影子卷拷贝。 执行此操作以通过管理命令(称为vssadmin)销毁恢复它们的任何可能性。

  最后,想跟大家说的是,这个病毒跟cerber病毒类似,暂时还没有特别好的破解方法。我们最重要的是备份文件,如果已经中毒,衡量文件重要性决定是否支付。我们并不建议大家支付。如果数据重要可以等到解密方案公布,例如之前的cerber加密病毒解密一样。卡巴斯基已经更新了部分敲诈病毒的解密软件,有需要的可以下载试用一下。