Allvarlighets skala:  
  (99/100)

Sage ransomware. Hur tar man bort? (Avinstallera guide)

av Olivia Morelli - - | Typ: Gisslanprogram

Sage ransomware förstärker sin position på nätet

Sage ransomware virus

Sage-viruset påminner om Cerber ransomware, vilket tillhandahåller en tydlig och välstrukturerad betalsida för varje drabbad användare. Viruset infiltrerar datorsystemet genom illegala och bedrägliga metoder, krypterar filer med den allmäna nyckeln RSA 4096 och lägger till filändelsen .sage. 

Den personliga nyckeln finns lagrad på de kriminellas servrar och det finns inget sätt att nå den på. Viruset ersätter sedan skrivbordsbilden med bilden AVuKmu.bmp, som innehåller information om ransomware-attacken. Här uppmanas offret att ladda ner webbläsaren Tor för att komma åt den hemliga betalsidan.

För att kunna nå denna sida, måste offret kunna sitt personliga ID, vilket finns angivet i filerna !Recovery_AVuKmu.txt och !Recovery_AVuKmu.html. Den personliga betalsidan kallas Sage User Area och har fem sektioner –  Home (Hem), Payment (Betalning), Test Decryption (Testdekryptering), Instructions (Instruktioner) och Support (Hjälp).

Startsidan (Hem) informerar offret om lösensumman (0,73962 BTC = 545 $) och visar en nedräkningsklocka för att stressa offret att betala. Enligt instruktionerna kommer den unika dekrypteringsnyckeln att förstöras när den angivna tiden har löpt ut. I sektionen ”Betalning” förklaras hur man köper Bitcoins.

En intressant sak är att bedragarna öppnar individuella Bitcoin-konton för varje enkilt offer. Med andra ord överför inte offren pengar till samma konto utan till flera tusen olika. Bedragarna tillhandahåller till och med kontots QR-kod så att offren skickar lösensumman till korrekt konto.

Precis som Cerber och andra avancerade ransomware-virus, erbjuder Sage-viruset gratis dekryptering av en fil. På så sätt vill bedragarna bevisa att de verkligen kan dekryptera filer. Sektionen ”Instruktioner” förklarar hur man använder Sage-dekrypteraren och sektionen ”Hjälp” erbjuder kontakt med virusutvecklarna.

Viruset planterar olika filer på datorn och oerfarna användare kanske inte lyckas att hämta samtliga av dem. Därför rekommenderar vi starkt att du tar bort dem med ett antisabotageprogram såsom Reimage eller Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus. Innan du tar bort Sage, ska du överväga vilket antisabotageprogram som du vill använda.

Om du redan har ett, se till att uppdatera detta när datorn är i ”Felsäkert läge med nätverk”. Om du saknar ett antisabotageprogram, ta bort Sage-viruset med hjälp av våra föreslagna program eller annat tillförlitligt antisabotageprogram. Du kan hitta användbara programrecensioner i sektionen Software (Program) på vår webbsida. 

Andra versioner av Sage

Sage 2.0 ransomware. Denna version orsakade inte bara stort kaos för användare utan lockade också forskares intresse. På grund av att nya versioner är på gång, har viruset förstärkt ryktena om att det är det ökända Cerber-viruset som ligger bakom detta nya hot. Det aktiverar sig själv med hjälp av ett VBScript.

Under själva kapningsprocessen, raderar det den ursprungliga programfilen och placerar en kopia i mappen %AppData%. Bedragarna ger programfilerna olika namn på varje infekterad enhet. I filen ! Recovery_ .html ges vidare information om hur man når den unika Sage 2.0-betalsidan.Denna sida liknar betalsidan hos ett annat snabbt växande virus – Spora ransomware.

Sage 2.0 raderar också skuggvolymkopior, vilket medför färre alternativ för dataåterställning. Vidare, placerar det sin länk i Start-mappen, vilket gör det möjligt för viruset att fortsätta krypteringsprocessen även om en dator startas om. Dess spridningsmetoder omfattar nätfiske och skräppost. Förhasta dig inte med att öppna mejl som är personligt adresserade, t.ex. EMAIL_[slumpmässiga siffror]_recipient.zip. Detta innehåller JavaScippt, vilket är en av nyckelfilerna som ligger bakom virusaktiveringen. 

Sage 2.2 ransomware. Denna gång bestämde sig bedragarna för att förbättra virusets tekniska egenskaper samt utformning. Ransom-meddelandet ändrades från rött till grönt. Instruktionsfilen har också fått nytt namn. Nu presenteras informationen om betalning och dataåterställning i filen !HELP_SOS.bmp.

Denna omdirigerar till en specifik webbsida, där offren uppmanas att betala en viss summa pengar. Denna kan variera mellan 99 $ och 2000 $. En intressant sak är att denna virusversion uppvisar fler Cerber-egenskaper. Sage 2.2 innehåller en ljudfil som varnar offren än mer och uppmanar till betalning. Ett tidtagartur med återstående tid för betalning gör det inte heller mindre stressande.

Viruset lägger till filändelsen .sage på de krypterade filerna. När det kommer till betalsidan, kan offren välja mellan 18 olika språk. I fallet med Cerber, väljer det bort flera länder såsom Ukraina, Vitryssland, Kazakstan, Ryssland och Lettland. Om du ser över processerna i Aktivitetshanteraren, kan du möjligen se att viruset avslutar eller begränsar flera centrala processer för att krypteringsprocessen ska löpa på smidigt.

Det verkar som att viruset inte angriper vanliga systemfilkataloger, men kan likväl avsluta spel såsom ”League of Legends”. Skräppost och nätfiskemejl är den vanligaste spridningsmetoden. Tänk på att viruset också kan använda exploit kits. Så skydda dig med ordentliga säkerhetsprogram. 

Sage ransomwares spridningsmetoder 

Sage-viruset sprids via avancerade spridningsmetoder. I de flesta fall kan viruset laddas ner via skadliga eller smittade webbsidor, bedrägliga e-postbilagor, annonser som bär på sabotageprogram eller exploit kits. I vissa fall kan sabotageprogram installeras ihop med legitima program, men bara om du laddar ner dem från suspekta webbsidor.

Ibland kan man undvika virusattacker, men i de allra flesta fall sprids skadliga program via trojaner vilket betyder att programmen är maskerade. Till exempel kan de utge sig för att vara legitima Flash Player- eller Java-uppdateringar, gratis spel, dokument eller andra filer som inte verkar farliga vid första anblick.

Men om du öppnar en sådan fil utan att märka att den är infekterad, kontamineras datorn snabbt. För att undvika sådana här situationer, rkeommenderar vi starkt att du skyddar din PC med ett antisabotageprogram. 

Sage 2 ransomware dök upp i början av 2017

Utvecklarna av detta ransomware verkar vara seriösa i sina mål och därför lanserade de nyligen en ny version av detta ökända ransomware. Sage 2 sprids för närvarande via skräpmejl med en .ZIP-fil. Denna fil har namnet EMAIL_[slumpmässiga tecken]_recipient.zip eller bara[slumpmässiga tecken].zip.

Detta arkiv kan innehålla ytterligare en .zip-fil med antingen en JS- eller-Word fil inuti. Om denna öppnas, kommer JS-filen att ladda ner viruset från en nätserver, medan Word-filen uppmanar offret att aktivera Makros-funktionen först. Om offret gör detta, kommer även detta leda till att viruset laddas ner.

Först håller viruset sig passivt ett tag men sparar sedan en kopia av sig själv till mappen \AppData\Roaming. Denna fil öppnas automatiskt och utlöser användarkontots kontrollpanel. Viruset krypterar sedan alla filer som finns beskrivna i sin mållista och sparar !Recovery_[3 random chars].html som ett ransom-meddelande på skrivbordet.

Detta meddelande uppmanar offret att besöka betalsidan.  Här får offret reda på hur mycket pengar som viruset kräver – 2000 $ i Bitcoins. Om offret inte betalar lösensumman inom 7 dagar, dubblas beloppet. Tyvärr kan detta virus inte dekrypteras med hjälp av något gratis återställningsverktyg. För mer information om Sage 2.0, föreslår vi att du läser denna artikel.

Borttagning av Sage ransomware 

Sage-viruset planterar en rad olika skadliga filer, bland annat AVuKmu.bmp, 1.tmp, hPBic1zL.tmp, VIxkxhFa.lnk med flera. Viruset lägger till sig bland uppstartsprogrammen och körs igång automatiskt när offret startar om sin PC. För att ta bort Sage ransomware, föreslår vi att du startar om din PC i ”Felsäkert läge med nätverk (instruktioner för detta finns nedan).

Vänligen påbörja inte borttagning av Sage innan du har startat om din PC enligt instruktionerna, då viruset kan blockera ditt antivirusprogram. Även om vi i nuläget inte kan erbjuda något 100 % effektivt dataåterställningsprogram, vänligen se över alternativen för återställningen nedan. 

Vi kan vara anslutna med produkterna vi rekommenderar på sidan. All information finns i vårt Användaravtal Genom att ladda ner någon av Anti-spionprogrammen för att ta bort Sage ransomware, så accepterar du våran integritetspolicy och våra användarvillkor.
gör det nu!
Ladda ner
Reimage (borttagare) Nöjdhets-
Garanti
Ladda ner
Reimage (borttagare) Nöjdhets-
Garanti
Kompatibel med Microsoft Windows Kompatibel med OS X
Vad ska man göra om det misslyckas?
Om du misslyckades med att ta bort infektionen med Reimage, skicka en fråga, till vår support och beskriv problemet så detaljerat som möjligt.
Reimage rekommenderas för att avinstallera Sage ransomware. Gratisskannern möjliggör för dig att kolla huruvida din PC är infekterad eller inte. Om du behöver ta bort skadeprogram måste du köpa den licensierade versionen av skadeprogramsborttagaren Reimage.
Mer information om detta program kan hittas i recensionen av Reimage.
Omnämningar i pressen om Reimage

Manuell Sage Borttagningsguide för virus:

Ta bort Sage med Safe Mode with Networking

Denna metod är specifikt utvecklad för att antera allvarliga virus. Vissa av dessa virus tenderar att låsa datorskärmen och stänga av andra centrala funktioner. Om   Sage ransomware även berövar dig full kontroll, starta om enheten i ”Felsäkert läge”.

  • Steg 1: Starta om din dator i Safe Mode with Networking

    Windows 7 / Vista / XP
    1. Klicka på Start Shutdown Restart OK.
    2. När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
    3. Välj Safe Mode with Networking från listan Välj 'Safe Mode with Networking'

    Windows 10 / Windows 8
    1. Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
    2. Välj nu Troubleshoot Advanced options Startup Settings och tryck avslutningsvis på Restart.
    3. När din dator blir aktiv så väljer du Enable Safe Mode with Networking i fönstret Startup Settings. Välj 'Enable Safe Mode with Networking'
  • Steg 2: Ta bort Sage

    Logga in på ditt infekterade konto och starta webbläsaren. Ladda ner Reimage eller ett annat legitimt antispionprogram. Uppdatera det innan du kör en full systemskanning och tar bort skadliga filer som tillhör ditt gisslanprogram och slutför borttagningen av Sage

Om ditt gisslanprogram blockerar Safe Mode with Networking så kan du prova en annan metod.

Ta bort Sage med System Restore

Du kan dra nytta av funktionen ”Systemåterställning”. Denna bör ge dig åtkomst ifall den första metoden inte lyckades.

  • Steg 1: Starta om din dator i Safe Mode with Command Prompt

    Windows 7 / Vista / XP
    1. Klicka på Start Shutdown Restart OK.
    2. När din dator blir aktiv så trycker du F8 upprepade gånger tills du ser fönstret Advanced Boot Options.
    3. Välj Command Prompt från listan Välj 'Safe Mode with Command Prompt'

    Windows 10 / Windows 8
    1. Tryck på knappen Power vid Windows inloggningsskärm. Tryck och håll nu ned Shift på ditt skrivbord och klicka på Restart..
    2. Välj nu Troubleshoot Advanced options Startup Settings och tryck avslutningsvis på Restart.
    3. När din dator blir aktiv så väljer du Enable Safe Mode with Command Prompt i fönstret Startup Settings. Välj 'Enable Safe Mode with Command Prompt'
  • Steg 2: Återställ dina systemfiler och inställningar
    1. När fönstret Command Prompt dyker upp så skriver du in cd restore och klickar Enter. Skriv in 'cd restore' utan citationstecken och tryck 'Enter'
    2. Skriv nu in rstrui.exe och tryck på Enter igen.. Skriv in 'rstrui.exe' utan citationstecken och tryck 'Enter'
    3. När ett nytt fönster dyker upp klickar du på Next och väljer en återställningspunkt från innan infiltrationen av Sage. Efter att ha gjort det klickar du på Next. När fönstret 'System Restore' dyker upp så väljer du 'Next' Välj din återställningspunkt och klicka 'Next'
    4. Klicka nu på Yes för att starta systemåterställningen. Klicka på 'Yes' och starta systemåterställningen
    Så fort du har återställt ditt system till ett tidigare stadium, ladda ner och skanna din dator med Reimage och se till att borttagningen av Sage lyckas.

Bonus: Återställ din data

Guiden ovan ska hjälpa dig att ta bort Sage från din dator. För att återställa dina krypterade filer, rekommenderar vi dig att använda en detaljerad guide utfärdad av utanvirus.se-säkerhetsexperter

Dessvärre är den enda metoden för att återställa all din data att använda en säkerhetskopia.

Om dina filer är krypterade genom Sage, finns flera sätt att återställa dem

Använd Data Recovery Pro

Detta är en av de alternativa dataåterställningsprogrammen. En av dess centrala funktioner är att det också kan återställa raderade filer. 

  • Ladda ner Data Recovery Pro (http://utanvirus.se/download/data-recovery-pro-setup.exe);
  • Följ anvisningarna i Installation av Data Recovery och installera programmet på din dator
  • Öppna det och skanna din dator efter filer som är krypterade genom Sage-ransomware;
  • Återställ dem

Försök med Windows-funktionen ”Återställ från tidigare versioner”

Om du tidigare har aktiverat funktionen ”Systemåterställning”, kan du använda denna metod för att återställa de allra viktigaste filerna, en efter en. Följ dessa steg: 

  • Hitta den krypterade filen som du vill återställa och högerklicka på den;
  • Välj “Properties” och gå till fliken “Previous versions”;
  • Här ska du kontrollera varje tillgänglig kopia av filen i “Folder versions”. Välj den version som du vill återställa och klicka på “Restore”.

Shadow Explorer

Detta program använder skuggvolymkopior för att återställa filer. Dessvärre raderar Sage ransomware dessa. Men om du tidigt upptäcker att du har infekterats, finns fortfarande en chans att spara din data men snabba dig på. 

  • Ladda ner Shadow Explorer (http://shadowexplorer.com/);
  • Använd en installationsguide för Shadow Explorer och installera denna applikation på din dator;
  • Öppna programmet och gå igenom rullmenyn i det övre vänstra hörnet för att välja enheten för din krypterade data. Se vilka mappar som finns där;
  • Högerklicka på den mapp som du vill återställa och välj “Export”. Du kan också välja var du vill att den ska lagras.

Sage Decrypter

På grund av virusets avancerade struktur, finns än så länge inget dekrypteringsverktyg.

Avslutningsvis så bör du tänka på skydd mot krypto-gisslanprogram. För att skydda din dator från Sage och andra gisslanprogram så ska du använda ett välrenommerat antispionprogram, såsom Reimage, Plumbytes Anti-MalwareWebroot SecureAnywhere AntiVirus eller Malwarebytes Anti Malware

Om utvecklaren

Olivia Morelli
Olivia Morelli

Om denna gratis borttagningsguide hjälpte dig och du är nöjd med vår tjänst, vänligen överväg att göra en donation för att hålla denna tjänst vid liv. Även små summor kommer uppskattas.

Kontakta Olivia Morelli
Om företaget Esolutions

Borttagning guider på andra språk