Sage (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87327
Inscription : 10 sept. 2005 13:57
Contact :

Sage (Crypto-Ransomware)

Message par Malekal_morte » 24 janv. 2017 13:57

Le ransomware Sage est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) découvert en Janvier 2017.
Ce ransomware s'attaque à vos documents afin de les chiffrer et vous demander de payer une rançon.
Cette modification se traduit par des fichiers avec une extension .sage ainsi que des fichiers instructions du type !Recovery_1BF.html
Il vise exclusivement le système d'exploitation Windows.

Le Ransomware sage modifie le fond d'écran avec les instructions de paiements.
Fond noir et écriture en rouge :
sage_ransomware.png
Ransomware Sage

Code : Tout sélectionner

*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! ***
*** PLEASE READ THIS MESSAGE CAREFULLY ***

All your important and critical files as well as databases, images and video and so on were encrypted by sofware known as SAGE! SAGE .20. used miltary grade elliptic curve cryptographiy and you have no chances resoring your files without your help!
But if you follow our instructions we guarantee that you can restore all your files quicky and safetly!
Ransomware_sage.png
Ransomware Sage
Version 2 :

Code : Tout sélectionner

Vous avez sûrement remarqué que vous ne pouvez pas ouvrir vos fichiers et qu’un logiciel a arrêté de fonctionner correctement.

C’est attendu. Le contenu de vos fichiers est encore disponible, mais il a été crypté par "SAGE 2.2 Ransomware".

Vos fichiers ne sont pas perdus, c’est possible de les récupérer et les avoir à l’état normal en les décryptant.

La seule façon de le faire et en ayant le logiciel"SAGE Decrypter" et votre clé de décryptage.
Sage_Decrypter.png
Ransomware Sage - Sage Decrypter
Les fichiers chiffrés portent l'extension .sage :
Ransomware_sage.png
Ransomware Sage
et pour la version 2, toujours des fichiers .sage et des fichiers instructions : !HELP_SOS.hta
Ransomware_sage.png
Ransomware Sage
Ransomware_sage.png (6.5 Kio) Consulté 1587 fois
Exemple de détections Virustotal d'un dropper du Ransomware Sage reçu par mail :

Sage Ransomware peut éventuellement être résident, c'est à dire chercher à se relancer au démarrage de Windows:
Startup: C:\Users\VincentPC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jD2XArKU.lnk
ShortcutTarget: jD2XArKU.lnk -> C:\Users\VincentPC\AppData\Roaming\bwyzOC6a.exe (No File)
Sage_Ransomware_virus_demarrage_Windows.png
Sage Ransomware au démarrage de Windows
SHA256: 50624b1338349dcab4ad8345e0100ea75d3b643ef1e3a487b32fd711418b281b
Nom du fichier : bwyzOC6a.exe
Ratio de détection : 7 / 56
Date d'analyse : 2017-01-24 11:35:43 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9746 20170124
CrowdStrike Falcon (ML) malicious_confidence_68% (W) 20161024
Fortinet W32/Kryptik.FNGP!tr 20170124
Invincea virtool.win32.ceeinject.ha 20170111
Qihoo-360 HEUR/QVM07.1.0000.Malware.Gen 20170124
Sophos Mal/Generic-S 20170124
Symantec ML.Attribute.VeryHighConfidence [Heur.AdvML.B] 20170123
Dans le mail malicieux reçu, la pièce jointe est au format zip et renferme un exécutable :
ransomware_sage_email.png
Ransomware Sage
récupérer les fichiers .sage

La récupération des fichiers chiffrés par le ransomware .sage est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers

Dans notre cas, cela n'a pas été probant :
Ransomware_sage_recuperer_fichiers.png
Ransomware Sage - récupérer les fichiers chiffrés
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87327
Inscription : 10 sept. 2005 13:57
Contact :

Re: Sage (Crypto-Ransomware)

Message par Malekal_morte » 07 mars 2017 11:14

Toujours d'actualité avec de nouvelles variantes.

Le fichier instruction se nomme HELP_SOS.hta
Ransomware_Sage.png
Ransomware Sage
Ransomware_Sage-2.png
Ransomware Sage
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 87327
Inscription : 10 sept. 2005 13:57
Contact :

Re: Sage (Crypto-Ransomware)

Message par Malekal_morte » 12 mars 2017 15:33

Mise à jour pour le Ransomware Sage 2.0
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « Ransomware »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 1 invité