从2017年开始,国内外网友的计算机陆续感染了一种新的病毒--Sage病毒。
Sage勒索软件是勒索软件家族的一个新成员,也是勒索软件CryLocker的一个变种。从目前情况分析,隐藏在Sage背后的始作俑者与勒索软件Cerber、Locky和Spora的散布者应该师出同门。
下面我们将会对Sage病毒做详细的分析
一、中毒特征
计算机感染Sage病毒以后,大量文件后缀被加上了“.sage”的后缀。
一些重要的文件夹内,都会自动生成一个!HELP_SOS.hta文件。打开后会出现黑客留下的的勒索信息。
如果您的计算机中毒后的情况和我上述描述的情况相同,那么很遗憾,您的计算机已经被感染了Sage病毒。
二、Sage病毒分析
1、Sage 2.0/2.2 Ransomware - 它如何感染电脑
对于感染过程,此版本的Sage勒索软件可能会使用包含欺骗性消息的恶意电子邮件垃圾邮件。 消息可以是各种类型,并且旨在说服潜在的受害者打开这些电子邮件的恶意.zip文件附件。 可用于感染Sage 2.2的欺骗性主题的示例有:
§ “您的PayPal交易已完成。
§ “您的网上银行帐户可疑活动。 (银行名)”。
§ “您的发票。
可能有许多其他电子邮件感染了Sage勒索软件,他们都可能携带档案作为文件附件。 档案可以是随机命名的,例如“6207_ZIP.zip” 。 在.zip文件中,有两种类型的文件导致感染:
§ 一个JavaScript .js文件,在打开后立即导致感染。
§ Microsoft Office文档.doc文件,当您单击“启用内容”按钮以启用宏时,该文件会导致感染。 这些宏在其中具有恶意脚本。
2、Sage 2.0/2.2 Ransomware - 感染后发生了什么
在用户PC被Sage 2.2病毒感染之后,可以使用不安全的端口连接到网络罪犯分发站点并在受感染的计算机上下载有效载荷。
Sage 2.2勒索软件的有效负载包括多个可执行文件和临时文件,它可能包含一个.dll类型的模块,它还包含Sage 2.2勒索软件的Wallapaper和它的“解密指令” 。
3、Sage 2.0/2.2 Ransomware - 加密分析
关于文件的加密,Sage 勒索软件使用强加密算法。 此密码会使受感染计算机上的文件无法打开。 病毒攻击
“PNG .PSD .PSPIMAGE .TGA。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF编码文件.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio档案.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。ICNS .ICO .LNK .SYS .CFG“
一旦Sage病毒检测到在受感染的计算机上有这种类型的文件,它会立即使它们无法再打开,并将.sage文件扩展名添加到文件中。 除了文件的加密之外,Sage病毒还可以删除受感染计算机的影子卷拷贝。 执行此操作以通过管理命令(称为vssadmin)销毁恢复它们的任何可能性。
三、破解恢复方法
目前国内针对sage病毒的恢复方法,大致归为三类。
1.向黑客缴纳赎金
这种方法我们不推荐,因为不是很保险。交完赎金后,黑客无法联系,黑客只留下支付的账号。缴纳赎金后,可能得不到黑客发送的破解密钥。有以下几种可能性:黑客身份败露,被警察逮捕,无法发送破解密钥;黑客金盆洗手,不从事该行当,你打了钱也没人与你联系;黑客的账户被封,你付的款,黑客无法知道;黑客的解密服务器出现问题,无法进行破解密钥的执行。即使最终得到了黑客的密钥,也有可能因为最初加密的过程中,有过关机,那么加密程序会出现bug,导致最终解密的文件不完整。
有些数据恢复公司更是借助这种方式,向客户收取高额的赎金和佣金,让客户受到二次敲诈。我们强烈谴责这种为同行业抹黑的行为。
2.暴力破解。
这种方法非常复杂和耗时间。在勒索软件中,Sage病毒是非常特别的一个存在,因为它采用了椭圆曲线加密算法对文件进行加密。
加密所使用的椭圆曲线函数是“y^2 = x^3 + 486662x^x + x”,使用的素数范围是“2^255 – 19”,基数变量x=9。Sage所采用的椭圆曲线是著名的Curve25519曲线,是现代密码学中最先进的技术。Curve25519不仅是最快的ECC(Elliptic Curve Cryptography,椭圆曲线加密算法)曲线之一,也不易受到弱RNG(Random Number Generator,随机数生成器)的影响,设计时考虑了侧信道攻击,避免了许多潜在的实现缺陷,并且很有可能不存在第三方内置后门。
据了解业内还无成功案例,期待好消息。
3.修复数据
我公司有着多年的数据恢复经验,通过研究学习,已经成功解决了多起针对客户数据库的sage病毒案例。
上个星期有一个客户,电脑不幸感染了Sage病毒,里面重要的数据库文件也被加密了。客户咨询了很多家数据恢复公司,都告诉他要缴纳巨额的赎金才可以从黑客手中拿到密钥,并且还要支付给他们一笔不小的佣金。后来通过网络,客户找到了我们,我们如实地告诉了客户缴纳赎金的不安全性和不确定性以及关于修复的可能性。客户了解后,对我们的专业知识和坦诚的态度都很赞赏,放心地把文件交给我们尝试修复。我们专业的工程师经过了1天1夜的努力,终于给客户带来了好消息。修复前所有的数据库文件都被加密勒索,如下图:修复前和修复后文件对比
修复后,文件经测试,均可正常使用。客户表示对我们的恢复结果非常满意和认可。
如果您也不幸感染了Sage病毒,欢迎和我们联系咨询。
1.不要“病急乱投医”,避免再次被坑,断网络,不要再其他没有被加密的U盘、移动硬盘等存储介质,及时和我们联系,我们有着多年经验的专业解密工程师提供一对一的优质服务,将尽可能用最小的代价帮你解密/恢复数据,以及获得最新的资讯。
2.保护好源文件不受二次破坏,或登录我们的网站www.safesuit.cn了解比特币勒索病毒相关最新信息。
产品功能介绍
[if !supportLists]1、[endif]斯福赛特安全解决方案背景
1.1 斯福赛特系统列产品解决了“人祸”问题
计算机信息系统经过几十年的迅猛发展,在运算速度上呈现几百上千倍的提升;网络带宽由当初的几十k发展到现在的千兆光纤入户企业万兆接入;服务器内存由640K到TB级别;硬盘容量有MB发展到PB由单一的硬盘发展到存储柜云存储;体积从庞大笨重到轻巧便携;网络接入由网线、wifi、移动信号3G、4G、5G并且近来无线带宽甚至赶超有线速率;计算机应用也从军事、国防,延伸到交通、能源、教育、金融、电子商务、卫生医疗、政务等整个社会各个领域。自电脑问世以来恶意程序、病毒影响一直存在并且愈演愈烈,时刻威胁着计算机运行安全,随着网络的普及和发展为病毒通过网络进行传播插上了翅膀,犹如打开了潘多拉的盒子,威胁着互联网上所有接入设备和服务。病毒一旦发作将会对信息系统的运行、正常社会秩序、国家安全、工业生产、金融安全、科研资料带来不可估量的损失。2017年的想哭病毒事件中瘫痪了医疗、石油、教育系统、航运、航空秩序。特别是随着比特币为代表的数字货币的诞生由于其不可追溯性以及具有经济价值,以牟利为目标的勒索病毒事件愈演愈烈。2017年后勒索病毒把勒索对象瞄准了生产贸易企业、医疗系统、科研机构、甚至政府、以及关键基础设施等高价值目标。对受害目标的业务运转、社会影响、带来经济上和声誉的双重打击甚至导致永远不可逆的不可估量的损失。
基于以上客观背景以及市场迫切需求我公司投入巨资经过数年研发打磨出了斯福赛特系列产品及服务。从根本上最大可能的消除了包括勒索病毒在内的电脑病毒对计算机信息系统的威胁。斯福赛特产品具有革命性、创新性、易用性。真正实现了对计算机病毒的可防、可控。
人是系统中最不稳定的一环,人的各种活动容易受到外届环境的干扰,心情好坏、身体状态、温度、噪音、情绪状态、外界环境、熟练度、经验能力等都会对操作造成影响。计算机毕竟还是机器还是由人操作。
斯福赛特产品创新性的消除了由人导致的误操作以及恶意操作操作带来的不可逆的影响
[if !supportLists]2、[endif]斯福赛特产品服务解决什么问题
2.1 中病毒所有程序文件被病毒破坏
计算机中病毒后,操作系统被被病毒感染,程序和文件被破坏导致的问题,我们软件均可以恢复正常。
2.2 对文件进行不可逆操作
对文档进行修改后进行保存覆盖,被覆盖的文件内容都能找回。
2.3 磁盘底层操作灾难可逆
用磁盘工具对磁盘区域进行扇区清零、低级格式化、文件粉碎多次以后数据依然被找回。
2.4 数据库误操作
将数据库进行还原覆盖、删除表、删除库、更新字段。被删除的库、被还原的数据库、被删除的表、被更新的字段都可以找回。
2.5 白名单
内核级别进程、连接库白名单,将恶意程序拒之门外,目前国内最强的进程管控。
2.6 轨迹回放取证
最近N天甚至数月的运行轨迹均可进行回放,管理员得到授权后可以对N天内的数据进行任意调阅,取证高可靠 不能被篡改。
[if !supportLists]3、[endif]斯福赛特产品有什么优势
3.1 革命性
从来没有一个产品可以让计算机按照运行轨迹使整个操作系统进行任意时刻数据随时调阅。
3.2 颠覆性
颠覆了传统安全防护被突破后任人鱼肉的现状。使整个操作系统的安全防线加长,使多种攻击带来的影响被直接消除!
3.3 具有微软授权证书
UEFI证书中国唯一一家企业具备得到微软的认可与intel同级拥有。
3.4 通过科技部创新认证
产品的创新性被中国科技部高度评价创新性经过了科技部的认证!
3.5 客户群体多 认可度高
在党政军、央企、科研院所、企业具有广泛应用。国内超过100000台次安装部署。
[if !supportLists]4、[endif]关于斯福赛特团队介绍
斯福赛特运营团队在2018年成立,在北京、上海、深圳设立研发分中心,其中北京研发中心600余人,客服中心100人,技术工程师300余人。在上海、南京、成都、武汉、长沙、西安、杭州、石家庄、济南、南宁、贵阳建立办事处。斯福赛特目前拥有斯福赛特时光机、工业灾备硬盘、超级端口、超级白名单、灾备中心团队精一事,专注做好防勒索病毒,促进了工业互联网业务连续性目前在医疗、教育、能源、军工、云计算、贸易、生产领域服务器装机量达到100000台次。每年抵御勒索事件3000例以上。为客户挽回停工等经济损失大于20亿。
[if !supportLists]5、[endif]勒索病毒解密业务中了病毒安心交给我们
5.1 公司2020年上线勒索病毒解密业务
公司于2020年上线解密业务,公司拿出2亿元作为资金池协助客户解决勒索软件问题,助力勒索病毒溯源加固客户网络。公司与深信服、绿盟、卡巴斯基、天融信达成战略合作威胁情报共享,如果企业用户在没有安装斯福赛特产品的情况下被黑客勒索了,我们公司通过技术手段资金手段,将协助客户解决解决服务器被勒索的问题。并赠送客户一套斯福赛特安全软件。
网络安全就是国家安全网络安全需要你我的共同守护。预防勒索病毒您需要一套斯福赛特产品,如果没有安装斯福赛特产品不幸中了勒索病毒,如果企业资金或者及时能力有限,联系我斯福赛特用我们资金池协助您解决。