Sage (Crypto-Ransomware)

Les malwares de type Ransomware et rançongiciels
Malekal_morte
Messages : 107215
Inscription : 10 sept. 2005 13:57

Sage (Crypto-Ransomware)

par Malekal_morte »

Le ransomware Sage est un Crypto-Ransomware (rançongiciel chiffreur de fichiers) découvert en Janvier 2017.
Ce ransomware s'attaque à vos documents afin de les chiffrer et vous demander de payer une rançon.
Cette modification se traduit par des fichiers avec une extension .sage ainsi que des fichiers instructions du type !Recovery_1BF.html
Il vise exclusivement le système d'exploitation Windows.

Le Ransomware sage modifie le fond d'écran avec les instructions de paiements.
Fond noir et écriture en rouge :
sage_ransomware.png

Code : Tout sélectionner

*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! ***
*** PLEASE READ THIS MESSAGE CAREFULLY ***

All your important and critical files as well as databases, images and video and so on were encrypted by sofware known as SAGE! SAGE .20. used miltary grade elliptic curve cryptographiy and you have no chances resoring your files without your help!
But if you follow our instructions we guarantee that you can restore all your files quicky and safetly!
Ransomware_sage.png
Version 2 :

Code : Tout sélectionner

Vous avez sûrement remarqué que vous ne pouvez pas ouvrir vos fichiers et qu’un logiciel a arrêté de fonctionner correctement.

C’est attendu. Le contenu de vos fichiers est encore disponible, mais il a été crypté par "SAGE 2.2 Ransomware".

Vos fichiers ne sont pas perdus, c’est possible de les récupérer et les avoir à l’état normal en les décryptant.

La seule façon de le faire et en ayant le logiciel"SAGE Decrypter" et votre clé de décryptage.
Sage_Decrypter.png
Les fichiers chiffrés portent l'extension .sage :
Ransomware_sage.png
et pour la version 2, toujours des fichiers .sage et des fichiers instructions : !HELP_SOS.hta
Ransomware_sage.png
Exemple de détections Virustotal d'un dropper du Ransomware Sage reçu par mail :

Sage Ransomware peut éventuellement être résident, c'est à dire chercher à se relancer au démarrage de Windows:
Startup: C:\Users\VincentPC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jD2XArKU.lnk
ShortcutTarget: jD2XArKU.lnk -> C:\Users\VincentPC\AppData\Roaming\bwyzOC6a.exe (No File)
Sage_Ransomware_virus_demarrage_Windows.png
SHA256: 50624b1338349dcab4ad8345e0100ea75d3b643ef1e3a487b32fd711418b281b
Nom du fichier : bwyzOC6a.exe
Ratio de détection : 7 / 56
Date d'analyse : 2017-01-24 11:35:43 UTC (il y a 0 minute)

Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9746 20170124
CrowdStrike Falcon (ML) malicious_confidence_68% (W) 20161024
Fortinet W32/Kryptik.FNGP!tr 20170124
Invincea virtool.win32.ceeinject.ha 20170111
Qihoo-360 HEUR/QVM07.1.0000.Malware.Gen 20170124
Sophos Mal/Generic-S 20170124
Symantec ML.Attribute.VeryHighConfidence [Heur.AdvML.B] 20170123
Dans le mail malicieux reçu, la pièce jointe est au format zip et renferme un exécutable :
ransomware_sage_email.png
récupérer les fichiers .sage

La récupération des fichiers chiffrés par le ransomware .sage est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)

Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers

Dans notre cas, cela n'a pas été probant :
Ransomware_sage_recuperer_fichiers.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 107215
Inscription : 10 sept. 2005 13:57

Re: Sage (Crypto-Ransomware)

par Malekal_morte »

Toujours d'actualité avec de nouvelles variantes.

Le fichier instruction se nomme HELP_SOS.hta
Ransomware_Sage.png
Ransomware_Sage-2.png
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Malekal_morte
Messages : 107215
Inscription : 10 sept. 2005 13:57

Re: Sage (Crypto-Ransomware)

par Malekal_morte »

Mise à jour pour le Ransomware Sage 2.0
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Ransomware »