Ransomware SAGE 2.2
Il panorama digitale in evoluzione ha portato con sé minacce sempre più sofisticate, rendendo imperativo per gli utenti proteggere i propri dispositivi da attacchi dannosi. Tra le famiglie di ransomware più avanzate, SAGE 2.2 si distingue come un ceppo potente e altamente dirompente. Comprendere il suo comportamento e implementare misure di sicurezza robuste sono passaggi cruciali per proteggere i dati personali e aziendali.
Sommario
Il ransomware SAGE 2.2: come funziona
SAGE 2.2 è una variante avanzata della famiglia Sage Ransomware , progettata per crittografare i file su un sistema infetto e richiedere un pagamento per il loro recupero. Dopo l'infiltrazione, il ransomware aggiunge l'estensione '.sage' ai file crittografati, rendendoli inaccessibili. Ad esempio, un file denominato '1.png' diventa '1.png.sage', mentre '2.pdf' viene modificato in '2.pdf.sage'.
Una volta completata la crittografia, SAGE 2.2 modifica lo sfondo del desktop della vittima e genera una nota di riscatto intitolata '!HELP_SOS.hta'. Questo messaggio appare in varie lingue, tra cui inglese, tedesco, italiano, portoghese, spagnolo, francese, coreano, olandese, arabo, persiano e cinese. Oltre a una richiesta scritta, un messaggio audio rafforza l'urgenza di conformarsi alle istruzioni degli aggressori.
Richieste di riscatto e minacce
La nota di riscatto informa le vittime che i loro file sono stati bloccati e che la decrittazione è possibile solo tramite lo strumento 'SAGE Decryptor', che richiede una chiave di decrittazione univoca. Gli aggressori forniscono link che indirizzano le vittime a siti Web specifici in cui è previsto il pagamento. Se questi link falliscono, la nota di riscatto consiglia di utilizzare il browser Tor per accedervi in modo anonimo. Sono incluse anche istruzioni dettagliate per scaricare e navigare in Tor, assicurando che le vittime possano raggiungere il portale di pagamento senza interferenze.
Nonostante le promesse fatte dai criminali informatici, pagare il riscatto non garantisce il recupero dei file. Gli aggressori potrebbero trattenere lo strumento di decrittazione anche dopo aver ricevuto il pagamento, lasciando alle vittime dati irrecuperabili. Inoltre, le minacce ransomware spesso continuano a funzionare in background, potenzialmente crittografando file aggiuntivi o diffondendosi nella rete locale se non vengono rimosse tempestivamente.
Come SAGE 2.2 infetta i dispositivi
SAGE 2.2 impiega più vettori di infezione per infiltrarsi nei sistemi. Uno dei metodi più comuni riguarda e-mail ingannevoli che contengono allegati o link dannosi. Gli utenti ignari che aprono questi allegati o cliccano sui link incorporati potrebbero eseguire inconsapevolmente ransomware sui loro dispositivi.
Inoltre, i siti web compromessi o fraudolenti fungono da canali per la distribuzione di ransomware. I criminali informatici possono sfruttare vulnerabilità software, usare falsi frodi di supporto tecnico o iniettare script corrotti in pubblicità online per distribuire il payload. Anche scaricare software pirata o usare applicazioni di terze parti non verificate può esporre i sistemi a infezioni.
Le migliori pratiche di sicurezza per difendersi dal ransomware
Data la gravità degli attacchi ransomware, sono essenziali procedure di sicurezza proattive per ridurre al minimo il rischio di infezione e perdita di dati. Le seguenti best practice aiutano a rafforzare le difese dei dispositivi contro minacce come SAGE 2.2:
- Backup regolari dei dati : mantenere backup sicuri e aggiornati su servizi di archiviazione esterna o cloud assicura che i dati rimangano recuperabili in caso di attacco. I backup devono essere mantenuti offline per impedire al ransomware di crittografarli.
- Email Vigilance : gli utenti devono prestare attenzione quando gestiscono email provenienti da mittenti sconosciuti. Evitare di aprire allegati inaspettati o di cliccare su link sospetti, poiché potrebbero contenere payload ransomware.
- Aggiornamenti software e di sistema : mantenere aggiornati i sistemi operativi, le applicazioni e il software di sicurezza aiuta a correggere le vulnerabilità che i criminali informatici potrebbero sfruttare. Gli aggiornamenti automatici dovrebbero essere abilitati ogni volta che è possibile.
- Protezione endpoint avanzata : l'implementazione di un software di sicurezza affidabile fornisce protezione in tempo reale contro ransomware e altre minacce. Funzionalità come il rilevamento basato sul comportamento possono identificare e bloccare le attività ransomware prima che causino danni.
- Utilizzo della whitelist delle applicazioni : impedire l'esecuzione di programmi senza l'approvazione dell'amministratore aiuta a impedire l'esecuzione di software non autorizzato, riducendo la probabilità di infezioni da ransomware.
- Limitare le macro nei documenti di Office : i criminali informatici spesso incorporano macro dannose nei documenti per innescare download di ransomware. La disattivazione delle macro per impostazione predefinita aiuta a prevenire tali attacchi.
- Misure di sicurezza della rete : le organizzazioni dovrebbero implementare firewall, sistemi di rilevamento delle intrusioni e segmentazione della rete per limitare la diffusione del ransomware e impedire la crittografia diffusa.
Adottando queste pratiche di sicurezza, gli utenti possono ridurre significativamente la loro esposizione alle minacce ransomware e minimizzare l'impatto di potenziali infezioni.
SAGE 2.2 è una variante di ransomware altamente destabilizzante che crittografa i file, altera le impostazioni di sistema e richiede il pagamento per la decrittazione. Utilizza tattiche ingannevoli, tra cui note di riscatto multilingue e portali di pagamento basati su Tor, per costringere le vittime a conformarsi. Tuttavia, il pagamento del riscatto non offre alcuna garanzia di recupero dei dati e potrebbe incoraggiare ulteriori attività criminali.
La difesa più efficace contro il ransomware è la prevenzione. L'implementazione di solide pratiche di sicurezza, il mantenimento di backup regolari e l'esercizio di cautela durante la navigazione e l'apertura di e-mail possono aiutare gli utenti a proteggere i propri dispositivi e dati dalle minacce informatiche.
Messaggi
Sono stati trovati i seguenti messaggi associati a Ransomware SAGE 2.2:
|
*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! *** *** PLEASE READ THIS MESSAGE CAREFULLY *** All your important and critical files, databases, images and videos were encrypted by "SAGE 2.2 Ransomware"! "SAGE 2.2 Ransomware" uses military grade elliptic curve cryptography, so you have no chances restoring your files without our help! But if you follow our instructions we guarantee that you can restore all your files quickly and safely! We created files with instructions named !HELP_SOS in every folder with encrypted files. *** Please be sure to copy instruction text and links to your notepad to avoid losing it *** ----------------- In case you can't find instructions, try opening any of these links: ===== Your personal key ===== - ====== If can't open any of those, you can use "TOR Browser" TOR Browser is available on the official website: hxxps://www.torproject.org/ Just open this site, click on the \"Download Tor\" button and follow the installation instructions Once "TOR Browser" in installed, use it to access - |
|
File recovery instructions You probably noticed that you can not open your files and that some software stopped working correctly. This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware". Your files are not lost, it is possible to revert them back to normal state by decrypting. The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key. Using any other software which claims to be able to restore your files will result in files being damaged or destroyed. You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links: If none of these links work for you, click here to update the list. Updating links... Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below. Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below. If you are asked for your personal key, copy it to the form on the site. This is your personal key: - You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser". In order to do that you need to: open Internet Explorer or any other internet browser; copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter"; once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions; once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version); Tor Browser will establish connection and open a normal browser window; copy the address - into this browser address bar and press "Enter"; your personal page should be opened now; if it didn't then wait for a bit and try again. If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube. You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files. |
