Ta bort viruset Sage (Guide för Virusborttagning) - aug 2017 uppdatering
Sage Borttagningsguide för virus
Vad är Sage ransomware?
Sage ransomware förstärker sin position på nätet
Sage-viruset påminner om Cerber ransomware, vilket tillhandahåller en tydlig och välstrukturerad betalsida för varje drabbad användare. Viruset infiltrerar datorsystemet genom illegala och bedrägliga metoder, krypterar filer med den allmäna nyckeln RSA 4096 och lägger till filändelsen .sage.
Den personliga nyckeln finns lagrad på de kriminellas servrar och det finns inget sätt att nå den på. Viruset ersätter sedan skrivbordsbilden med bilden AVuKmu.bmp, som innehåller information om ransomware-attacken. Här uppmanas offret att ladda ner webbläsaren Tor för att komma åt den hemliga betalsidan.
För att kunna nå denna sida, måste offret kunna sitt personliga ID, vilket finns angivet i filerna !Recovery_AVuKmu.txt och !Recovery_AVuKmu.html. Den personliga betalsidan kallas Sage User Area och har fem sektioner – Home (Hem), Payment (Betalning), Test Decryption (Testdekryptering), Instructions (Instruktioner) och Support (Hjälp).
Startsidan (Hem) informerar offret om lösensumman (0,73962 BTC = 545 $) och visar en nedräkningsklocka för att stressa offret att betala. Enligt instruktionerna kommer den unika dekrypteringsnyckeln att förstöras när den angivna tiden har löpt ut. I sektionen ”Betalning” förklaras hur man köper Bitcoins.
En intressant sak är att bedragarna öppnar individuella Bitcoin-konton för varje enkilt offer. Med andra ord överför inte offren pengar till samma konto utan till flera tusen olika. Bedragarna tillhandahåller till och med kontots QR-kod så att offren skickar lösensumman till korrekt konto.
Precis som Cerber och andra avancerade ransomware-virus, erbjuder Sage-viruset gratis dekryptering av en fil. På så sätt vill bedragarna bevisa att de verkligen kan dekryptera filer. Sektionen ”Instruktioner” förklarar hur man använder Sage-dekrypteraren och sektionen ”Hjälp” erbjuder kontakt med virusutvecklarna.
Viruset planterar olika filer på datorn och oerfarna användare kanske inte lyckas att hämta samtliga av dem. Därför rekommenderar vi starkt att du tar bort dem med ett antisabotageprogram såsom FortectIntego eller SpyHunter 5Combo Cleaner. Innan du tar bort Sage, ska du överväga vilket antisabotageprogram som du vill använda.
Om du redan har ett, se till att uppdatera detta när datorn är i ”Felsäkert läge med nätverk”. Om du saknar ett antisabotageprogram, ta bort Sage-viruset med hjälp av våra föreslagna program eller annat tillförlitligt antisabotageprogram. Du kan hitta användbara programrecensioner i sektionen Software (Program) på vår webbsida.
Andra versioner av Sage
Sage 2.0 ransomware. Denna version orsakade inte bara stort kaos för användare utan lockade också forskares intresse. På grund av att nya versioner är på gång, har viruset förstärkt ryktena om att det är det ökända Cerber-viruset som ligger bakom detta nya hot. Det aktiverar sig själv med hjälp av ett VBScript.
Under själva kapningsprocessen, raderar det den ursprungliga programfilen och placerar en kopia i mappen %AppData%. Bedragarna ger programfilerna olika namn på varje infekterad enhet. I filen ! Recovery_ .html ges vidare information om hur man når den unika Sage 2.0-betalsidan.Denna sida liknar betalsidan hos ett annat snabbt växande virus – Spora ransomware.
Sage 2.0 raderar också skuggvolymkopior, vilket medför färre alternativ för dataåterställning. Vidare, placerar det sin länk i Start-mappen, vilket gör det möjligt för viruset att fortsätta krypteringsprocessen även om en dator startas om. Dess spridningsmetoder omfattar nätfiske och skräppost. Förhasta dig inte med att öppna mejl som är personligt adresserade, t.ex. EMAIL_[slumpmässiga siffror]_recipient.zip. Detta innehåller JavaScippt, vilket är en av nyckelfilerna som ligger bakom virusaktiveringen.
Sage 2.2 ransomware. Denna gång bestämde sig bedragarna för att förbättra virusets tekniska egenskaper samt utformning. Ransom-meddelandet ändrades från rött till grönt. Instruktionsfilen har också fått nytt namn. Nu presenteras informationen om betalning och dataåterställning i filen !HELP_SOS.bmp.
Denna omdirigerar till en specifik webbsida, där offren uppmanas att betala en viss summa pengar. Denna kan variera mellan 99 $ och 2000 $. En intressant sak är att denna virusversion uppvisar fler Cerber-egenskaper. Sage 2.2 innehåller en ljudfil som varnar offren än mer och uppmanar till betalning. Ett tidtagartur med återstående tid för betalning gör det inte heller mindre stressande.
Viruset lägger till filändelsen .sage på de krypterade filerna. När det kommer till betalsidan, kan offren välja mellan 18 olika språk. I fallet med Cerber, väljer det bort flera länder såsom Ukraina, Vitryssland, Kazakstan, Ryssland och Lettland. Om du ser över processerna i Aktivitetshanteraren, kan du möjligen se att viruset avslutar eller begränsar flera centrala processer för att krypteringsprocessen ska löpa på smidigt.
Det verkar som att viruset inte angriper vanliga systemfilkataloger, men kan likväl avsluta spel såsom ”League of Legends”. Skräppost och nätfiskemejl är den vanligaste spridningsmetoden. Tänk på att viruset också kan använda exploit kits. Så skydda dig med ordentliga säkerhetsprogram.
Sage ransomwares spridningsmetoder
Sage-viruset sprids via avancerade spridningsmetoder. I de flesta fall kan viruset laddas ner via skadliga eller smittade webbsidor, bedrägliga e-postbilagor, annonser som bär på sabotageprogram eller exploit kits. I vissa fall kan sabotageprogram installeras ihop med legitima program, men bara om du laddar ner dem från suspekta webbsidor.
Ibland kan man undvika virusattacker, men i de allra flesta fall sprids skadliga program via trojaner vilket betyder att programmen är maskerade. Till exempel kan de utge sig för att vara legitima Flash Player- eller Java-uppdateringar, gratis spel, dokument eller andra filer som inte verkar farliga vid första anblick.
Men om du öppnar en sådan fil utan att märka att den är infekterad, kontamineras datorn snabbt. För att undvika sådana här situationer, rkeommenderar vi starkt att du skyddar din PC med ett antisabotageprogram.
Sage 2 ransomware dök upp i början av 2017
Utvecklarna av detta ransomware verkar vara seriösa i sina mål och därför lanserade de nyligen en ny version av detta ökända ransomware. Sage 2 sprids för närvarande via skräpmejl med en .ZIP-fil. Denna fil har namnet EMAIL_[slumpmässiga tecken]_recipient.zip eller bara[slumpmässiga tecken].zip.
Detta arkiv kan innehålla ytterligare en .zip-fil med antingen en JS- eller-Word fil inuti. Om denna öppnas, kommer JS-filen att ladda ner viruset från en nätserver, medan Word-filen uppmanar offret att aktivera Makros-funktionen först. Om offret gör detta, kommer även detta leda till att viruset laddas ner.
Först håller viruset sig passivt ett tag men sparar sedan en kopia av sig själv till mappen \AppData\Roaming. Denna fil öppnas automatiskt och utlöser användarkontots kontrollpanel. Viruset krypterar sedan alla filer som finns beskrivna i sin mållista och sparar !Recovery_[3 random chars].html som ett ransom-meddelande på skrivbordet.
Detta meddelande uppmanar offret att besöka betalsidan. Här får offret reda på hur mycket pengar som viruset kräver – 2000 $ i Bitcoins. Om offret inte betalar lösensumman inom 7 dagar, dubblas beloppet. Tyvärr kan detta virus inte dekrypteras med hjälp av något gratis återställningsverktyg. För mer information om Sage 2.0, föreslår vi att du läser denna artikel.
Borttagning av Sage ransomware
Sage-viruset planterar en rad olika skadliga filer, bland annat AVuKmu.bmp, 1.tmp, hPBic1zL.tmp, VIxkxhFa.lnk med flera. Viruset lägger till sig bland uppstartsprogrammen och körs igång automatiskt när offret startar om sin PC. För att ta bort Sage ransomware, föreslår vi att du startar om din PC i ”Felsäkert läge med nätverk (instruktioner för detta finns nedan).
Vänligen påbörja inte borttagning av Sage innan du har startat om din PC enligt instruktionerna, då viruset kan blockera ditt antivirusprogram. Även om vi i nuläget inte kan erbjuda något 100 % effektivt dataåterställningsprogram, vänligen se över alternativen för återställningen nedan.
Manuell Sage Borttagningsguide för virus
Utpressningsprogram: Manuell borttagning av utpressningsprogram (ransomware) i Felsäkert läge
Denna metod är specifikt utvecklad för att antera allvarliga virus. Vissa av dessa virus tenderar att låsa datorskärmen och stänga av andra centrala funktioner. Om Sage ransomware även berövar dig full kontroll, starta om enheten i ”Felsäkert läge”.
Viktigt! →
Manuell borttagning kan vara för komplicerad för vanliga datoranvändare. Det krävs avancerade IT-kunskaper för att utföras korrekt (om viktiga systemfiler tas bort eller skadas kan det leda till att Windows totalt förstörs), och det kan också ta flera timmar att genomföra. Därför rekommenderar vi starkt att du istället använder den automatiska metoden som visas ovan.
Steg 1. Starta Felsäkert Läge med Nätverk
Manuell borttagning av skadeprogram bör utföras i felsäkert läge.
Windows 7 / Vista / XP
- Klicka på Start > Stäng av > Starta om > OK.
- När datorn blir aktiv börjar du trycka på F8-knappen (om det inte fungerar kan du prova F2, F12, Del, osv. – det beror på din moderkortsmodell) flera gånger tills du ser fönstret Avancerade startalternativ.
- Välj Felsäkert läge med Nätverk från listan.
Windows 10 / Windows 8
- Högerklicka på Start-knappen och välj Inställningar.
- Bläddra ner och välj Uppdatering & Säkerhet.
- Till vänster i fönstret väljer du Återhämtning.
- Bläddra nu nedåt för att hitta sektionen Avancerad start.
- Klicka på Starta om nu.
- Välj Felsök.
- Gå till Avancerade alternativ.
- Välj Inställningar för uppstart.
- Tryck på Starta om.
- Tryck nu på 5 eller klicka på 5) Aktivera felsäkert läge med nätverk.
Steg 2. Stäng av alla skumma processer
Windows Aktivitetshanteraren är ett användbart verktyg som visar alla processer som körs i bakgrunden. Om skadlig kod kör en process måste du stänga av den:
- Tryck Ctrl + Shift + Esc på tangentbordet för att öppna Windows Aktivitetshanteraren.
- Tryck på Fler detaljer.
- Bläddra ner till Bakgrundsprocesser och leta efter något misstänkt.
- Högerklicka och välj Öppna filplats.
- Gå tillbaka till processen, högerklicka och välj Avsluta aktivitet.
- Radera innehållet i den skadliga mappen.
Steg 3. Kontrollera start av programmet
- Ctrl + Shift + Esc på tangentbordet för att öppna Windows Aktivitetshanteraren.
- Gå till fliken Uppstart.
- Högerklicka på det misstänkta programmet och välj Inaktivera.
Steg 4. Radera virusfiler
Malware-relaterade filer kan finnas på olika ställen i din dator. Här finns instruktioner som kan hjälpa dig att hitta dem:
- Skriv in Diskrensning i Windows-sökningen och tryck på Enter.
- Välj den enhet du vill rensa (C: är din huvudenhet som standard och är troligtvis den enhet som innehåller skadliga filer).
- Bläddra i listan Filer som ska raderas och välj följande:
Temporary Internet Files
Downloads
Recycle Bin
Temporary files - Välj Rensa upp systemfiler.
- Du kan också leta efter andra skadliga filer som är gömda i följande mappar (skriv dessa sökord i Windows Sökbar och tryck på Enter):
%AppData%
%LocalAppData%
%ProgramData%
%WinDir%
När du är klar startar du om datorn i normalt läge.
Ta bort Sage med System Restore
Du kan dra nytta av funktionen ”Systemåterställning”. Denna bör ge dig åtkomst ifall den första metoden inte lyckades.
-
Steg 1: Starta om din dator i Safe Mode with Command Prompt
Windows 7 / Vista / XP- Klicka på Start → Shutdown → Restart → OK.
- När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
-
Välj Command Prompt från listan
Windows 10 / Windows 8- Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
- Välj nu Troubleshoot → Advanced options → Startup Settings och tryck avslutningsvis på Restart.
-
När din dator blir aktiv så väljer du Enable Safe Mode with Command Prompt i fönstret Startup Settings.
-
Steg 2: Återställ dina systemfiler och inställningar
-
När fönstret Command Prompt dyker upp så skriver du in cd restore och klickar Enter.
-
Skriv nu in rstrui.exe och tryck på Enter igen..
-
När ett nytt fönster dyker upp klickar du på Next och väljer en återställningspunkt från innan infiltrationen av Sage. Efter att ha gjort det klickar du på Next.
-
Klicka nu på Yes för att starta systemåterställningen.
-
När fönstret Command Prompt dyker upp så skriver du in cd restore och klickar Enter.
Bonus: Återställ din data
Guiden ovan ska hjälpa dig att ta bort Sage från din dator. För att återställa dina krypterade filer, rekommenderar vi dig att använda en detaljerad guide utfärdad av utanvirus.se-säkerhetsexperterDessvärre är den enda metoden för att återställa all din data att använda en säkerhetskopia.
Om dina filer är krypterade genom Sage, finns flera sätt att återställa dem
Använd Data Recovery Pro
Detta är en av de alternativa dataåterställningsprogrammen. En av dess centrala funktioner är att det också kan återställa raderade filer.
- Ladda ner Data Recovery Pro;
- Följ anvisningarna i Installation av Data Recovery och installera programmet på din dator
- Öppna det och skanna din dator efter filer som är krypterade genom Sage-ransomware;
- Återställ dem
Försök med Windows-funktionen ”Återställ från tidigare versioner”
Om du tidigare har aktiverat funktionen ”Systemåterställning”, kan du använda denna metod för att återställa de allra viktigaste filerna, en efter en. Följ dessa steg:
- Hitta den krypterade filen som du vill återställa och högerklicka på den;
- Välj “Properties” och gå till fliken “Previous versions”;
- Här ska du kontrollera varje tillgänglig kopia av filen i “Folder versions”. Välj den version som du vill återställa och klicka på “Restore”.
Shadow Explorer
Detta program använder skuggvolymkopior för att återställa filer. Dessvärre raderar Sage ransomware dessa. Men om du tidigt upptäcker att du har infekterats, finns fortfarande en chans att spara din data men snabba dig på.
- Ladda ner Shadow Explorer (http://shadowexplorer.com/);
- Använd en installationsguide för Shadow Explorer och installera denna applikation på din dator;
- Öppna programmet och gå igenom rullmenyn i det övre vänstra hörnet för att välja enheten för din krypterade data. Se vilka mappar som finns där;
- Högerklicka på den mapp som du vill återställa och välj “Export”. Du kan också välja var du vill att den ska lagras.
Sage Decrypter
På grund av virusets avancerade struktur, finns än så länge inget dekrypteringsverktyg.
Avslutningsvis så bör du tänka på skydd mot krypto-gisslanprogram. För att skydda din dator från Sage och andra gisslanprogram så ska du använda ett välrenommerat antispionprogram, såsom FortectIntego, SpyHunter 5Combo Cleaner eller Malwarebytes
Rekommenderat För Dig
Låt inte myndigheterna spionera på dig
Myndigheterna har många problemområden gällande att spåra användares information och spionera på invånare så du bör komma ihåg detta och lära dig mer om skuggig informationsinsamling. Undvik oönskad spårning från myndigheterna och spionering genom att bli helt anonym på nätet.
Du kan välja en annorlunda geografisk plats när du kopplar upp dig och få tillgång till vilket innehåll som helst, oavsett geografiska begränsningar. Du kan enkelt njuta av internetuppkopplingen utan risk av att bli hackad om du använder dig av en Private Internet Access VPN.
Ta kontroll över informationen som kan nås av styrelser och andra oönskade parter och surfa online utan att spioneras på. Även om du inte är inblandad i olagliga aktiviteter och litar på dina tjänster och plattformer så är det nödvändigt att aktivt skydda din integritet och ta försiktighetsåtgärder genom en VPN-tjänst.
Säkerhetskopiera filer för senare användning i fall malware-attacker uppstår
Mjukvaruproblems skapade av skadeprogram eller direkt dataförlust på grund av kryptering kan leda till problem med din enhet eller permanent skada. När du har ordentliga aktuella säkerhetskopior kan du enkelt ta igen dig om något sådant skulle hända och fortsätta med ditt arbete.
Det är viktigt att skapa uppdateringar för dina säkerhetskopior efter ändringar så att du kan fortsätta var du var efter att skadeprogram avbryter något eller skapar problem hos din enhet som orsakar dataförlust eller prestandakorruption.
När du har den senaste versionen av varje viktigt dokument eller projekt kan du undvika mycket frustration. Det är praktiskt när skadeprogram kommer från ingenstans. Använd Data Recovery Pro för systemåterställning.
Om denna gratis borttagningsguide hjälpte dig och du är nöjd med vår tjänst, vänligen överväg att göra en donation för att hålla denna tjänst vid liv. Även små summor kommer uppskattas.