La primera versión del cripto virus Sage la descubrió nuestro grupo de investigación el 7 de diciembre de 2016. Casi dos meses después de publicar nuestro artículo sobre él, hemos detectado una nueva muestra ejecutándose en los ciber terrenos, como un segundo añadido a la amenaza Sage. La primera versión no fue una infección importante, ya que no impacto a una gran cantidad de navegadores. Nuestra suposición es que la muestra anterior fue una prueba, ya que la versión activa ahora está mucho más preparada para convertir los dispositivos en un tornado de encriptación. Sage 2, la secuela de Sage, intenta infectar dispositivos a través de campañas de spam. Los correos que llegan a las bandejas de entrada que no tienen texto que expliquen una razón para su envío, pero simplemente contiene un adjunto. Los títulos de esos archivos no indican ningún significado específico, dejando a los clientes completamente intrigados. Si ocurre que nota un adjunto, llamado EMAIL_[combinación de números]_[destinatario].zip o simplemente [combinación de números].zip., por favor, elimine el email y ejecute un escaneado completo de seguridad para asegurarse de que su sistema no se ve comprometido por una infección de malware.
El ransomware Sage 2: comentarios importantes sobre él
Después de que los usuarios descarguen el archivo .zip de la bandeja maliciosa de correos spam, la actividad del virus Sage 2, no aparecerá de la nada. Quizás los hackers que han diseñado esta infección pensaron que hace falta un poco de tiempo para engañar al usuario y hacerle creer que el archivo ejecutado no tiene el control sobre el dispositivo. Los documentos descargados del correo dejarán un instalador, del virus Sage 2, que llevarán a esta infección completa.
Después de que haya pasado una cantidad apropiada de tiempo, esta amenaza mostrará una tabla de Control de Cuenta de Usuario, permitiendo a dos programas bizarros hacer modificaciones al sistema infectado. Luego, los programas Cmd.exe y EobUtylp no dudarán en acelerar las cosas y buscar inmediatamente los archivos que son ejecutables potenciales a encriptar. Al igual que el ancestro de Sage 2, esta muestra se espera que use algoritmo AES para corromper los archivos, pero el cifrado actual todavía tiene que determinarse. Como esta muestra encuentra más de 500 tipos de archivos apropiados para la encriptación, estamos seguros de que no se encontrará con obstáculos durante el proceso de escanear los datos. Puede codificar los archivos con la mayoría de extensiones más populares, pero también puede afectar datos que son menos frecuentes. La extensión .sage se adjunta a cada archivo encriptado. Sage 2 también se deshace de cualquier Shadow Volume Copies que podría ser un peligro para la desencriptación.
Un archivo HTML llamado !Recovery_[3_random_chars] dará información sobre la situación y aconsejará a la gente descargar el navegador TOR para poder acceder al sitio de pagos de Sage 2. En esta página web, la gente va a ser informada sobre la cantidad de dinero que debe enviarse para conseguir la clave de desencriptación de archivos, tiempo límite, y amenazas de bloquear la clave de desencriptación única en caso de que las víctimas no les den el dinero. Sage2Decrypter.exe dice que está disponible después de que las víctimas paguen el rescate: en caso de que no entiendan el proceso de desencriptación, la web de pago proporciona instrucciones paso a paso para facilitar este proceso. Esto podría parecer como una característica muy cómoda, pero no debe olvidar que los desarrolladores de este ransomware han invadido su dispositivo. Además, la gente también puede contactar con estos programadores maliciosos a través de la sección de “Ayuda”. No se moleste en pedir ayuda o piedad, ya que estos hackers no tendrán ninguna.
El ransomware Sage 2 y la desencriptación: ¿Cuáles son sus opciones?
El cripto virus Sage 2 es una amenaza que los investigadores de seguridad no han sido capaces de derrotar (al menos, por ahora). Existe la posibilidad de un desencriptador gratuito se publique rápidamente, así que no debe pagar los 2000 dólares requeridos en forma de BTC (aproximadamente 2.14696). El dinero es algo difícil de ganar y gastar una cantidad de dinero para una desencriptación de archivos parece una pérdida de dinero muy tonta. Además, sólo tiene 7 días para enviar este pago. Si el contador llega a cero y la víctima no ha pagado la suma requerida, entonces se va a doblar a 4000 dólares. Si una víctima no paga la suma demandada, los hackers van a bloquear el código de desencriptación y así, sus datos serán inútiles para siempre. Sin embargo, nos ceñimos a la opinión de que pagar el rescate es algo innecesario. Debe hacer copias de sus datos infectados y eliminar el virus Sage 2 del sistema. Para el futuro, recuerde guardar sus archivos en copias de seguridad u otras ubicaciones que el ransomware no sea capaz de llegar.
¿Sabe qué evitar para mantenerse a salvo del ransomware Sage 2?
Al igual que muchos virus ransomwares activos, la infección Sage 2 viaja en bandejas de spam. Si recibe un mensaje de una fuente no desconocida, nunca se permita abrirlos libremente porque podrían llevar a una infección con un virus ransomware. Esto es especialmente posible si descarga adjuntos que encuentra en su interior. Después de ver esos correos en su bandeja de entrada, elimínelos. Si está interesado en la eliminación del virus Sage 2, debe usar un potente programa antimalware para detectarlo y destruirlo. Lea las siguientes secciones sobre la eliminación manual y la desencriptación. Spyhunter o Malwarebytes también pueden ayudarle a eliminar el virus Sage 2 y mantenerse alejado de los virus en el futuro.
¿Cómo eliminar Sage 2 ransomware usando Restauración del Sistema?
1. Reinicie su ordenador en Modo Seguro con Solicitud de Comando
1. Modo seguro
Para Windows 7/ Vista/ XP- l Inicio → Apagar → Reiniciar → OK.
- l Presione la tecla F8 repetidamente hasta que la pantalla de Opciones de Inicio Avanzado aparece.
- l Elegir Modo Seguro con Solicitud de Comando.
- l Presione Potencia en la pantalla de acceso de Windows. Luego presione y mantenga la tecla Shift y haga clic en Reiniciar.
- l Elija solucionar problemas → Opciones Avanzadas → Configuración de Inicio y haga clic en Reiniciar.
- l Cuando se cargue, seleccione Permitir Modo Seguro con Solicitud de Comando en la lista de Configuraciones de Inicio.
2. Restaurar archivos y configuraciones del Sistema.
- l Cuando el modo de Solicitud de Comando se cargue, introduzca cd restore y presione Intro.
- l Luego introduzca rstrui.exe y presione Intro otra vez.
- l Haga clic en “Siguiente” en la ventana que apareció.
- l Seleccione uno de los Puntos de Restauración que están disponibles antes de que se infiltrase el Sage 2 virus en su sistema y luego haga clic en “Siguiente”.
- l Para iniciar la restauración del Sistema haga clic en “Sí”.
2. Complete la eliminación del Sage 2 ransomware
Tras restaurar su sistema, se recomienda escanear su ordenador con un programa anti-malware, como Malwarebytes, Spyhunter y elimine todos los archivos maliciosos relacionados con Sage 2 virus.
3. Restaure los archivos afectados por Sage 2 ransomware usando Shadow Volume Copies
Si no usa la opción de Restaurar Sistema en su sistema operativo, existe la posibilidad de usar capturas de shadow copy. Almacenan copias de sus archivos en el punto temporal en el que la captura de restauración del sistema fue creada. Normalmente Sage 2 virus intenta eliminar todas las posibles Shadow Volume Copies, así que este método puede que no funcione en todos los ordenadores. Sin embargo, puede que falle al hacerlo.
Shadow Volume Copies sólo está disponible con Windows XP Service Pack 2, Windows Vista, Windows 7 y Windows 8. Hay dos maneras de recuperar sus archivos a través de Shadow Volume Copu. Puede hacerlo usando las versiones anteriores nativas de Windows o a través de Shadow Explorer.
a) Versiones Anteriores nativas de Windows
Haga clic derecho en un archivo encriptado y seleccione Propiedades>Pestaña de versiones anteriores. Ahora verá todas las copias disponibles de ese archivo particular y del momento cuando fue almacenado en un Shadow Volume Copy. Elija la versión del archivo que quiera recuperar y haga clic en Copiar si quiere guardarlo en algún directorio suyo, o Restaurar si quiere reemplazar el archivo encriptado existente. Si quiere ver el contenido del archivo previamente, simplemente haga clic en Abrir.
b) Shadow Explorer
Es un programa que puede encontrarse online de manera gratuita. Puede descargar tanto una versión completa o portable de Shadow Explorer. Abra el programa. En la esquina superior derecha el disco donde el archivo que está buscando está almacenado. Verá todas las carpetas en ese disco. Para recuperar la carpeta completa, haga clic derecho en ella y seleccione “Exportar”. Luego escoja dónde quiere que se almacene.
Nota: En muchos casos es imposible restaurar archivos de datos afectados por un ransomware moderno. Por eso recomiendo usar un software de copias de seguridad en la nube decente como precaución. Le recomendamos echar un vistazo a Carbonite, BackBlaze, CrashPlan o Mozy Home.
Herramientas de extracción Malware automática
(Win)
Nota: Ensayo Spyhunter proporciona la detección de parásitos como Sage 2 Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible, Terms of use, Privacy Policy, Uninstall Instructions,
(Mac)
Nota: Ensayo Combo Cleaner proporciona la detección de parásitos como Sage 2 Ransomware y ayuda a su eliminación de forma gratuita. versión de prueba limitada es disponible,