Ce ransomware s'attaque à vos documents afin de les chiffrer et vous demander de payer une rançon.
Cette modification se traduit par des fichiers avec une extension .sage ainsi que des fichiers instructions du type !Recovery_1BF.html
Il vise exclusivement le système d'exploitation Windows.
Le Ransomware sage modifie le fond d'écran avec les instructions de paiements.
Fond noir et écriture en rouge :
Code : Tout sélectionner
*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! ***
*** PLEASE READ THIS MESSAGE CAREFULLY ***
All your important and critical files as well as databases, images and video and so on were encrypted by sofware known as SAGE! SAGE .20. used miltary grade elliptic curve cryptographiy and you have no chances resoring your files without your help!
But if you follow our instructions we guarantee that you can restore all your files quicky and safetly!
Code : Tout sélectionner
Vous avez sûrement remarqué que vous ne pouvez pas ouvrir vos fichiers et qu’un logiciel a arrêté de fonctionner correctement.
C’est attendu. Le contenu de vos fichiers est encore disponible, mais il a été crypté par "SAGE 2.2 Ransomware".
Vos fichiers ne sont pas perdus, c’est possible de les récupérer et les avoir à l’état normal en les décryptant.
La seule façon de le faire et en ayant le logiciel"SAGE Decrypter" et votre clé de décryptage.
et pour la version 2, toujours des fichiers .sage et des fichiers instructions : !HELP_SOS.hta
Exemple de détections Virustotal d'un dropper du Ransomware Sage reçu par mail :
Sage Ransomware peut éventuellement être résident, c'est à dire chercher à se relancer au démarrage de Windows:
Startup: C:\Users\VincentPC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jD2XArKU.lnk
ShortcutTarget: jD2XArKU.lnk -> C:\Users\VincentPC\AppData\Roaming\bwyzOC6a.exe (No File)
Dans le mail malicieux reçu, la pièce jointe est au format zip et renferme un exécutable :SHA256: 50624b1338349dcab4ad8345e0100ea75d3b643ef1e3a487b32fd711418b281b
Nom du fichier : bwyzOC6a.exe
Ratio de détection : 7 / 56
Date d'analyse : 2017-01-24 11:35:43 UTC (il y a 0 minute)
Antivirus Résultat Mise à jour
Baidu Win32.Trojan.WisdomEyes.16070401.9500.9746 20170124
CrowdStrike Falcon (ML) malicious_confidence_68% (W) 20161024
Fortinet W32/Kryptik.FNGP!tr 20170124
Invincea virtool.win32.ceeinject.ha 20170111
Qihoo-360 HEUR/QVM07.1.0000.Malware.Gen 20170124
Sophos Mal/Generic-S 20170124
Symantec ML.Attribute.VeryHighConfidence [Heur.AdvML.B] 20170123
récupérer les fichiers .sage
La récupération des fichiers chiffrés par le ransomware .sage est normalement impossible.
Du moins, les pirates cherchent à ce qu'il n'y est aucun moyen afin de vous obliger à payer.
Surveillez la page suivante, pour une mise à disposition d'un outil spécifique : Outils de décryptage (Decrypt Tools Ransomware)
Vous pouvez tenter de récupérer les fichiers avec Shadow Explorer - versions précédentes
Plus d'informations : Ransomware et récupération de fichiers
Dans notre cas, cela n'a pas été probant :