从2017年开始PowerUP Roulette，国内外网友的计算机陆续感染了一种新的病毒--Sage病毒Eye of Horus Rise of Egypt。

 

 

Sage勒索软件是勒索软件家族的一个新成员Book of Tut Megaways，也是勒索软件CryLocker的一个变种Wild Wild Pearls。从目前情况分析Pirates Charm，隐藏在Sage背后的始作俑者与勒索软件CerberSpeed Baccarat H、Locky和Spora的散布者应该师出同门Thai Speed Baccarat。

下面我们将会对Sage病毒做详细的分析

一5 Lions Megaways™ 2、中毒特征

计算机感染Sage病毒以后Huff n Even More Puff，大量文件后缀被加上了“.sage”的后缀ECHO FORTUNES。

 

 

一些重要的文件夹内Black Mamba，都会自动生成一个!HELP_SOS.hta文件Free Bet VIP Blackjack A。打开后会出现黑客留下的的勒索信息Danger High Voltage。

 

 

如果您的计算机中毒后的情况和我上述描述的情况相同Emberfall，那么很遗憾Miko Festival，您的计算机已经被感染了Sage病毒Speed VIP Blackjack J。

二Hot Chilli、Sage病毒分析

1VIP Blackjack 1 Ruby、Sage 2.0/2.2 Ransomware - 它如何感染电脑

对于感染过程Donny Dough，此版本的Sage勒索软件可能会使用包含欺骗性消息的恶意电子邮件垃圾邮件Golden Glyph 2。 消息可以是各种类型Viking Apocalypse，并且旨在说服潜在的受害者打开这些电子邮件的恶意.zip文件附件Dj Psycho。 可用于感染Sage 2.2的欺骗性主题的示例有：

§ “您的PayPal交易已完成Dragon Tiger。

§ “您的网上银行帐户可疑活动Fortune Ox。 (银行名)”Blackjack 80 Emerald。

§ “您的发票Rave Party Fever。

可能有许多其他电子邮件感染了Sage勒索软件Triple Card Poker，他们都可能携带档案作为文件附件Peek Baccarat。 档案可以是随机命名的Mysterious Egypt，例如“6207_ZIP.zip” Mega Don Feeding Frenzy。 在.zip文件中Sweet Bonanza 1000，有两种类型的文件导致感染：

§ 一个JavaScript .js文件Bouncy Bombs，在打开后立即导致感染Money Stacks Megaways。

§ Microsoft Office文档.doc文件VIP Blackjack 5 Ruby，当您单击“启用内容”按钮以启用宏时Super Ace，该文件会导致感染Blackjack VIP L。 这些宏在其中具有恶意脚本VIP Auto Roulette。

2Lucky Neko、Sage 2.0/2.2 Ransomware - 感染后发生了什么

在用户PC被Sage 2.2病毒感染之后Starlight Princess 1000，可以使用不安全的端口连接到网络罪犯分发站点并在受感染的计算机上下载有效载荷Dream Catcher。

Sage 2.2勒索软件的有效负载包括多个可执行文件和临时文件Escape the Pyramid – Fire & Ice，它可能包含一个.dll类型的模块Get the CHEESE，它还包含Sage 2.2勒索软件的Wallapaper和它的“解密指令” Wolf Legend Megaways。

3Muertos Multiplier Megaways、Sage 2.0/2.2 Ransomware - 加密分析

关于文件的加密GemPops，Sage 勒索软件使用强加密算法Crazy Coin Flip。 此密码会使受感染计算机上的文件无法打开Mystery Joker。 病毒攻击

“PNG .PSD .PSPIMAGE .TGAChicken Drop。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXEHome Run 777。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSSBaccarat Live。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF编码文件.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio档案.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA视频文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRVLe Viking。ICNS .ICO .LNK .SYS .CFG“

一旦Sage病毒检测到在受感染的计算机上有这种类型的文件Medusas Stone，它会立即使它们无法再打开Oriental Princess，并将.sage文件扩展名添加到文件中Hot Pepper。 除了文件的加密之外Howling for Gold，Sage病毒还可以删除受感染计算机的影子卷拷贝Starlight Princess。 执行此操作以通过管理命令(称为vssadmin)销毁恢复它们的任何可能性Baccarat 1。

三Speed Baccarat 5、破解恢复方法

目前国内针对sage病毒的恢复方法PIZZA PIZZA PIZZA，大致归为三类Funky Time。

1.向黑客缴纳赎金

这种方法我们不推荐Sloth Tumble，因为不是很保险Sweet Bonanza Xmas。交完赎金后Gates of Olympus 1000，黑客无法联系Big Bass Vegas Double Down Deluxe，黑客只留下支付的账号BlackjackX 24 Azure。缴纳赎金后Kingdom Below，可能得不到黑客发送的破解密钥Pearl Harbor。有以下几种可能性：黑客身份败露Phoenix DuelReels，被警察逮捕Baccarat Speed A，无法发送破解密钥Blackjack 49 Ruby；黑客金盆洗手Le Pharaoh，不从事该行当Oishi Delights，你打了钱也没人与你联系3 Egypt Chests；黑客的账户被封Home Run 777，你付的款Beheaded，黑客无法知道;黑客的解密服务器出现问题No Comm Baccarat 1，无法进行破解密钥的执行Baccarat Control Squeeze。即使最终得到了黑客的密钥Oiran Dream Xmas，也有可能因为最初加密的过程中Speed Blackjack 9 Ruby，有过关机Giants and Sheep，那么加密程序会出现bugBonanza Billion，导致最终解密的文件不完整Blackjack VIP F。

有些数据恢复公司更是借助这种方式Rascal Riches，向客户收取高额的赎金和佣金Book of Golden Sands，让客户受到二次敲诈Munchies。我们强烈谴责这种为同行业抹黑的行为Mega Sic Bac。

2.暴力破解XXXtreme Lightning Baccarat。

这种方法非常复杂和耗时间BRICK SNAKE 2000。在勒索软件中Temple Tumble，Sage病毒是非常特别的一个存在Fortune of Giza，因为它采用了椭圆曲线加密算法对文件进行加密Blackjack 72 Ruby。

加密所使用的椭圆曲线函数是“y^2 = x^3 + 486662x^x + x”Fury of Odin Megaways，使用的素数范围是“2^255 – 19”Sweet Alchemy，基数变量x=9Blackjack X 3 Azure。Sage所采用的椭圆曲线是著名的Curve25519曲线DREAMS OF GOLD JACKPOT，是现代密码学中最先进的技术Fortune Rabbit。Curve25519不仅是最快的ECC（Elliptic Curve CryptographySpeed Baccarat 2，椭圆曲线加密算法）曲线之一Speed Baccarat I，也不易受到弱RNG（Random Number GeneratorSpeed Baccarat 6，随机数生成器）的影响Speed Blackjack 53 Azure，设计时考虑了侧信道攻击No Comm Baccarat 1，避免了许多潜在的实现缺陷Blackjack VIP 38，并且很有可能不存在第三方内置后门Mighty Masks。

据了解业内还无成功案例Krakens Cove，期待好消息Baccarat 1。

3.修复数据

我公司有着多年的数据恢复经验Blackjack VIP T，通过研究学习DRAGON BUCKS，已经成功解决了多起针对客户数据库的sage病毒案例Blackjack 96 Emerald。

上个星期有一个客户3 Egypt Chests，电脑不幸感染了Sage病毒Roulette 9 The Club，里面重要的数据库文件也被加密了Blackjack 63 Azure。客户咨询了很多家数据恢复公司Big Bass Bonanza 3 Reeler，都告诉他要缴纳巨额的赎金才可以从黑客手中拿到密钥Emperor Speed Baccarat A，并且还要支付给他们一笔不小的佣金Merlin Journey of Flame。后来通过网络Kingdoms Rise Captains Treasure，客户找到了我们Little Bighorn，我们如实地告诉了客户缴纳赎金的不安全性和不确定性以及关于修复的可能性Sanctuary。客户了解后Diamond Rise，对我们的专业知识和坦诚的态度都很赞赏Blackjack Silver D，放心地把文件交给我们尝试修复Riches of RA。我们专业的工程师经过了1天1夜的努力Fire In The Hole xBomb，终于给客户带来了好消息Lion Saga Odyssey。修复前所有的数据库文件都被加密勒索,如下图：修复前和修复后文件对比

 

 

修复后 Savannah Legend，文件经测试Big Wild Buffalo，均可正常使用Big Bot Crew。客户表示对我们的恢复结果非常满意和认可Speed Blackjack 50 Emerald。

如果您也不幸感染了Sage病毒Fury of Odin Megaways，欢迎和我们联系咨询Futebol Fever。

 

 

1.不要“病急乱投医”Evo Speed Blackjack 7，避免再次被坑Wacky Wildlife，断网络777 Deluxe，不要再其他没有被加密的U盘Section VIII Rise of the Damned、移动硬盘等存储介质Jelly Slice，及时和我们联系：13305512885Bonanza，我们有着多年经验的专业解密工程师提供一对一的优质服务Himalayan Wild，将尽可能用最小的代价帮你解密/恢复数据ECHO FORTUNES，以及获得最新的资讯Big Bass Day at the Races。

2.保护好源文件不受二次破坏Speed Blackjack 53 Azure，或登录我们的网站www.delongdu.com了解比特币勒索病毒相关最新信息Bubble Trouble。