從2017年開(kāi)始，國(guó)內(nèi)外網(wǎng)友的計(jì)算機(jī)陸續(xù)感染了一種新的病毒--Sage病毒。

Sage勒索軟件是勒索軟件家族的一個(gè)新成員，也是勒索軟件CryLocker的一個(gè)變種。從目前情況分析，隱藏在Sage背后的始作俑者與勒索軟件Cerber、Locky和Spora的散布者應(yīng)該師出同門(mén)。

下面我們將會(huì)對(duì)Sage病毒做詳細(xì)的分析

一、中毒特征

計(jì)算機(jī)感染Sage病毒以后，大量文件后綴被加上了“.sage”的后綴。

一些重要的文件夾內(nèi)，都會(huì)自動(dòng)生成一個(gè)!HELP_SOS.hta文件。打開(kāi)后會(huì)出現(xiàn)黑客留下的的勒索信息。

如果您的計(jì)算機(jī)中毒后的情況和我上述描述的情況相同，那么很遺憾，您的計(jì)算機(jī)已經(jīng)被感染了Sage病毒。

二、Sage病毒分析

1、Sage 2.0/2.2 Ransomware - 它如何感染電腦

對(duì)于感染過(guò)程，此版本的Sage勒索軟件可能會(huì)使用包含欺騙性消息的惡意電子郵件垃圾郵件。 消息可以是各種類(lèi)型，并且旨在說(shuō)服潛在的受害者打開(kāi)這些電子郵件的惡意.zip文件附件。 可用于感染Sage 2.2的欺騙性主題的示例有：

§ “您的PayPal交易已完成。

§ “您的網(wǎng)上銀行帳戶(hù)可疑活動(dòng)。 (銀行名)”。

§ “您的發(fā)票。

可能有許多其他電子郵件感染了Sage勒索軟件，他們都可能攜帶檔案作為文件附件。 檔案可以是隨機(jī)命名的，例如“6207_ZIP.zip” 。 在.zip文件中，有兩種類(lèi)型的文件導(dǎo)致感染：

§ 一個(gè)JavaScript .js文件，在打開(kāi)后立即導(dǎo)致感染。

§ Microsoft Office文檔.doc文件，當(dāng)您單擊“啟用內(nèi)容”按鈕以啟用宏時(shí)，該文件會(huì)導(dǎo)致感染。 這些宏在其中具有惡意腳本。

2、Sage 2.0/2.2 Ransomware - 感染后發(fā)生了什么

在用戶(hù)PC被Sage 2.2病毒感染之后，可以使用不安全的端口連接到網(wǎng)絡(luò)罪犯分發(fā)站點(diǎn)并在受感染的計(jì)算機(jī)上下載有效載荷。

Sage 2.2勒索軟件的有效負(fù)載包括多個(gè)可執(zhí)行文件和臨時(shí)文件，它可能包含一個(gè).dll類(lèi)型的模塊，它還包含Sage 2.2勒索軟件的Wallapaper和它的“解密指令” 。

3、Sage 2.0/2.2 Ransomware - 加密分析

關(guān)于文件的加密，Sage 勒索軟件使用強(qiáng)加密算法。 此密碼會(huì)使受感染計(jì)算機(jī)上的文件無(wú)法打開(kāi)。 病毒攻擊

“PNG .PSD .PSPIMAGE .TGA。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF編碼文件.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio檔案.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視頻文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。ICNS .ICO .LNK .SYS .CFG“

一旦Sage病毒檢測(cè)到在受感染的計(jì)算機(jī)上有這種類(lèi)型的文件，它會(huì)立即使它們無(wú)法再打開(kāi)，并將.sage文件擴(kuò)展名添加到文件中。 除了文件的加密之外，Sage病毒還可以刪除受感染計(jì)算機(jī)的影子卷拷貝。 執(zhí)行此操作以通過(guò)管理命令(稱(chēng)為vssadmin)銷(xiāo)毀恢復(fù)它們的任何可能性。

三、破解恢復(fù)方法

目前國(guó)內(nèi)針對(duì)sage病毒的恢復(fù)方法，大致歸為三類(lèi)。

1.向黑客繳納贖金

這種方法我們不推薦，因?yàn)椴皇呛鼙ｋU(xiǎn)。交完贖金后，黑客無(wú)法聯(lián)系，黑客只留下支付的賬號(hào)。繳納贖金后，可能得不到黑客發(fā)送的破解密鑰。有以下幾種可能性：黑客身份敗露，被警察逮捕，無(wú)法發(fā)送破解密鑰；黑客金盆洗手，不從事該行當(dāng)，你打了錢(qián)也沒(méi)人與你聯(lián)系；黑客的賬戶(hù)被封，你付的款，黑客無(wú)法知道;黑客的解密服務(wù)器出現(xiàn)問(wèn)題，無(wú)法進(jìn)行破解密鑰的執(zhí)行。即使最終得到了黑客的密鑰，也有可能因?yàn)樽畛跫用艿倪^(guò)程中，有過(guò)關(guān)機(jī)，那么加密程序會(huì)出現(xiàn)bug，導(dǎo)致最終解密的文件不完整。

有些數(shù)據(jù)恢復(fù)公司更是借助這種方式，向客戶(hù)收取高額的贖金和傭金，讓客戶(hù)受到二次敲詐。我們強(qiáng)烈譴責(zé)這種為同行業(yè)抹黑的行為。

2.暴力破解。

這種方法非常復(fù)雜和耗時(shí)間。在勒索軟件中，Sage病毒是非常特別的一個(gè)存在，因?yàn)樗捎昧藱E圓曲線(xiàn)加密算法對(duì)文件進(jìn)行加密。

加密所使用的橢圓曲線(xiàn)函數(shù)是“y^2 = x^3 + 486662x^x + x”，使用的素?cái)?shù)范圍是“2^255 – 19”，基數(shù)變量x=9。Sage所采用的橢圓曲線(xiàn)是著名的Curve25519曲線(xiàn)，是現(xiàn)代密碼學(xué)中最先進(jìn)的技術(shù)。Curve25519不僅是最快的ECC（Elliptic Curve Cryptography，橢圓曲線(xiàn)加密算法）曲線(xiàn)之一，也不易受到弱RNG（Random Number Generator，隨機(jī)數(shù)生成器）的影響，設(shè)計(jì)時(shí)考慮了側(cè)信道攻擊，避免了許多潛在的實(shí)現(xiàn)缺陷，并且很有可能不存在第三方內(nèi)置后門(mén)。

據(jù)了解業(yè)內(nèi)還無(wú)成功案例，期待好消息。

3.修復(fù)數(shù)據(jù)

我公司有著多年的數(shù)據(jù)恢復(fù)經(jīng)驗(yàn)，通過(guò)研究學(xué)習(xí)，已經(jīng)成功解決了多起針對(duì)客戶(hù)數(shù)據(jù)庫(kù)的sage病毒案例。

上個(gè)星期有一個(gè)客戶(hù)，電腦不幸感染了Sage病毒，里面重要的數(shù)據(jù)庫(kù)文件也被加密了。客戶(hù)咨詢(xún)了很多家數(shù)據(jù)恢復(fù)公司，都告訴他要繳納巨額的贖金才可以從黑客手中拿到密鑰，并且還要支付給他們一筆不小的傭金。后來(lái)通過(guò)網(wǎng)絡(luò)，客戶(hù)找到了我們，我們?nèi)鐚?shí)地告訴了客戶(hù)繳納贖金的不安全性和不確定性以及關(guān)于修復(fù)的可能性?？蛻?hù)了解后，對(duì)我們的專(zhuān)業(yè)知識(shí)和坦誠(chéng)的態(tài)度都很贊賞，放心地把文件交給我們嘗試修復(fù)。我們專(zhuān)業(yè)的工程師經(jīng)過(guò)了1天1夜的努力，終于給客戶(hù)帶來(lái)了好消息。修復(fù)前所有的數(shù)據(jù)庫(kù)文件都被加密勒索,如下圖：修復(fù)前和修復(fù)后文件對(duì)比

修復(fù)后，文件經(jīng)測(cè)試，均可正常使用?？蛻?hù)表示對(duì)我們的恢復(fù)結(jié)果非常滿(mǎn)意和認(rèn)可。

如果您也不幸感染了Sage病毒，歡迎和我們聯(lián)系咨詢(xún)。

1.不要“病急亂投醫(yī)”，避免再次被坑，斷網(wǎng)絡(luò)，不要再其他沒(méi)有被加密的U盤(pán)、移動(dòng)硬盤(pán)等存儲(chǔ)介質(zhì)，及時(shí)和我們聯(lián)系，我們有著多年經(jīng)驗(yàn)的專(zhuān)業(yè)解密工程師提供一對(duì)一的優(yōu)質(zhì)服務(wù)，將盡可能用最小的代價(jià)幫你解密/恢復(fù)數(shù)據(jù)，以及獲得最新的資訊。

2.保護(hù)好源文件不受二次破壞，或登錄我們的網(wǎng)站www.safesuit.cn了解比特幣勒索病毒相關(guān)最新信息。?

產(chǎn)品功能介紹

[if !supportLists]1、[endif]斯福賽特安全解決方案背景

?1.1 斯福賽特系統(tǒng)列產(chǎn)品解決了“人禍”問(wèn)題

?????計(jì)算機(jī)信息系統(tǒng)經(jīng)過(guò)幾十年的迅猛發(fā)展，在運(yùn)算速度上呈現(xiàn)幾百上千倍的提升；網(wǎng)絡(luò)帶寬由當(dāng)初的幾十k發(fā)展到現(xiàn)在的千兆光纖入戶(hù)企業(yè)萬(wàn)兆接入；服務(wù)器內(nèi)存由640K到TB級(jí)別；硬盤(pán)容量有MB發(fā)展到PB由單一的硬盤(pán)發(fā)展到存儲(chǔ)柜云存儲(chǔ)；體積從龐大笨重到輕巧便攜；網(wǎng)絡(luò)接入由網(wǎng)線(xiàn)、wifi、移動(dòng)信號(hào)3G、4G、5G并且近來(lái)無(wú)線(xiàn)帶寬甚至趕超有線(xiàn)速率；計(jì)算機(jī)應(yīng)用也從軍事、國(guó)防，延伸到交通、能源、教育、金融、電子商務(wù)、衛(wèi)生醫(yī)療、政務(wù)等整個(gè)社會(huì)各個(gè)領(lǐng)域。自電腦問(wèn)世以來(lái)惡意程序、病毒影響一直存在并且愈演愈烈，時(shí)刻威脅著計(jì)算機(jī)運(yùn)行安全，隨著網(wǎng)絡(luò)的普及和發(fā)展為病毒通過(guò)網(wǎng)絡(luò)進(jìn)行傳播插上了翅膀，猶如打開(kāi)了潘多拉的盒子，威脅著互聯(lián)網(wǎng)上所有接入設(shè)備和服務(wù)。病毒一旦發(fā)作將會(huì)對(duì)信息系統(tǒng)的運(yùn)行、正常社會(huì)秩序、國(guó)家安全、工業(yè)生產(chǎn)、金融安全、科研資料帶來(lái)不可估量的損失。2017年的想哭病毒事件中癱瘓了醫(yī)療、石油、教育系統(tǒng)、航運(yùn)、航空秩序。特別是隨著比特幣為代表的數(shù)字貨幣的誕生由于其不可追溯性以及具有經(jīng)濟(jì)價(jià)值，以牟利為目標(biāo)的勒索病毒事件愈演愈烈。2017年后勒索病毒把勒索對(duì)象瞄準(zhǔn)了生產(chǎn)貿(mào)易企業(yè)、醫(yī)療系統(tǒng)、科研機(jī)構(gòu)、甚至政府、以及關(guān)鍵基礎(chǔ)設(shè)施等高價(jià)值目標(biāo)。對(duì)受害目標(biāo)的業(yè)務(wù)運(yùn)轉(zhuǎn)、社會(huì)影響、帶來(lái)經(jīng)濟(jì)上和聲譽(yù)的雙重打擊甚至導(dǎo)致永遠(yuǎn)不可逆的不可估量的損失。

基于以上客觀(guān)背景以及市場(chǎng)迫切需求我公司投入巨資經(jīng)過(guò)數(shù)年研發(fā)打磨出了斯福賽特系列產(chǎn)品及服務(wù)。從根本上最大可能的消除了包括勒索病毒在內(nèi)的電腦病毒對(duì)計(jì)算機(jī)信息系統(tǒng)的威脅。斯福賽特產(chǎn)品具有革命性、創(chuàng)新性、易用性。真正實(shí)現(xiàn)了對(duì)計(jì)算機(jī)病毒的可防、可控。

人是系統(tǒng)中最不穩(wěn)定的一環(huán)，人的各種活動(dòng)容易受到外屆環(huán)境的干擾，心情好壞、身體狀態(tài)、溫度、噪音、情緒狀態(tài)、外界環(huán)境、熟練度、經(jīng)驗(yàn)?zāi)芰Φ榷紩?huì)對(duì)操作造成影響。計(jì)算機(jī)畢竟還是機(jī)器還是由人操作。

斯福賽特產(chǎn)品創(chuàng)新性的消除了由人導(dǎo)致的誤操作以及惡意操作操作帶來(lái)的不可逆的影響

[if !supportLists]2、[endif]斯福賽特產(chǎn)品服務(wù)解決什么問(wèn)題

2.1 ?中病毒所有程序文件被病毒破壞

?????計(jì)算機(jī)中病毒后，操作系統(tǒng)被被病毒感染，程序和文件被破壞導(dǎo)致的問(wèn)題，我們軟件均可以恢復(fù)正常。

2.2 ?對(duì)文件進(jìn)行不可逆操作

?????對(duì)文檔進(jìn)行修改后進(jìn)行保存覆蓋，被覆蓋的文件內(nèi)容都能找回。

2.3 ?磁盤(pán)底層操作災(zāi)難可逆

?????用磁盤(pán)工具對(duì)磁盤(pán)區(qū)域進(jìn)行扇區(qū)清零、低級(jí)格式化、文件粉碎多次以后數(shù)據(jù)依然被找回。

2.4 ?數(shù)據(jù)庫(kù)誤操作

?????將數(shù)據(jù)庫(kù)進(jìn)行還原覆蓋、刪除表、刪除庫(kù)、更新字段。被刪除的庫(kù)、被還原的數(shù)據(jù)庫(kù)、被刪除的表、被更新的字段都可以找回。

2.5 ?白名單

?????內(nèi)核級(jí)別進(jìn)程、連接庫(kù)白名單，將惡意程序拒之門(mén)外，目前國(guó)內(nèi)最強(qiáng)的進(jìn)程管控。

2.6 ?軌跡回放取證

??????????最近N天甚至數(shù)月的運(yùn)行軌跡均可進(jìn)行回放，管理員得到授權(quán)后可以對(duì)N天內(nèi)的數(shù)據(jù)進(jìn)行任意調(diào)閱，取證高可靠 不能被篡改。

[if !supportLists]3、[endif]斯福賽特產(chǎn)品有什么優(yōu)勢(shì)

3.1 革命性

從來(lái)沒(méi)有一個(gè)產(chǎn)品可以讓計(jì)算機(jī)按照運(yùn)行軌跡使整個(gè)操作系統(tǒng)進(jìn)行任意時(shí)刻數(shù)據(jù)隨時(shí)調(diào)閱。

3.2 顛覆性

????顛覆了傳統(tǒng)安全防護(hù)被突破后任人魚(yú)肉的現(xiàn)狀。使整個(gè)操作系統(tǒng)的安全防線(xiàn)加長(zhǎng)，使多種攻擊帶來(lái)的影響被直接消除！

3.3 具有微軟授權(quán)證書(shū)

????UEFI證書(shū)中國(guó)唯一一家企業(yè)具備得到微軟的認(rèn)可與intel同級(jí)擁有。

3.4 通過(guò)科技部創(chuàng)新認(rèn)證

????產(chǎn)品的創(chuàng)新性被中國(guó)科技部高度評(píng)價(jià)創(chuàng)新性經(jīng)過(guò)了科技部的認(rèn)證！

3.5 客戶(hù)群體多 認(rèn)可度高

????在黨政軍、央企、科研院所、企業(yè)具有廣泛應(yīng)用。國(guó)內(nèi)超過(guò)100000臺(tái)次安裝部署。

[if !supportLists]4、[endif]關(guān)于斯福賽特團(tuán)隊(duì)介紹

?????斯福賽特運(yùn)營(yíng)團(tuán)隊(duì)在2018年成立，在北京、上海、深圳設(shè)立研發(fā)分中心，其中北京研發(fā)中心600余人，客服中心100人，技術(shù)工程師300余人。在上海、南京、成都、武漢、長(zhǎng)沙、西安、杭州、石家莊、濟(jì)南、南寧、貴陽(yáng)建立辦事處。斯福賽特目前擁有斯福賽特時(shí)光機(jī)、工業(yè)災(zāi)備硬盤(pán)、超級(jí)端口、超級(jí)白名單、災(zāi)備中心團(tuán)隊(duì)精一事，專(zhuān)注做好防勒索病毒，促進(jìn)了工業(yè)互聯(lián)網(wǎng)業(yè)務(wù)連續(xù)性目前在醫(yī)療、教育、能源、軍工、云計(jì)算、貿(mào)易、生產(chǎn)領(lǐng)域服務(wù)器裝機(jī)量達(dá)到100000臺(tái)次。每年抵御勒索事件3000例以上。為客戶(hù)挽回停工等經(jīng)濟(jì)損失大于20億。

[if !supportLists]5、[endif]勒索病毒解密業(yè)務(wù)中了病毒安心交給我們

?5.1 公司2020年上線(xiàn)勒索病毒解密業(yè)務(wù)

公司于2020年上線(xiàn)解密業(yè)務(wù)，公司拿出2億元作為資金池協(xié)助客戶(hù)解決勒索軟件問(wèn)題，助力勒索病毒溯源加固客戶(hù)網(wǎng)絡(luò)。公司與深信服、綠盟、卡巴斯基、天融信達(dá)成戰(zhàn)略合作威脅情報(bào)共享，如果企業(yè)用戶(hù)在沒(méi)有安裝斯福賽特產(chǎn)品的情況下被黑客勒索了，我們公司通過(guò)技術(shù)手段資金手段，將協(xié)助客戶(hù)解決解決服務(wù)器被勒索的問(wèn)題。并贈(zèng)送客戶(hù)一套斯福賽特安全軟件。

網(wǎng)絡(luò)安全就是國(guó)家安全網(wǎng)絡(luò)安全需要你我的共同守護(hù)。預(yù)防勒索病毒您需要一套斯福賽特產(chǎn)品，如果沒(méi)有安裝斯福賽特產(chǎn)品不幸中了勒索病毒，如果企業(yè)資金或者及時(shí)能力有限，聯(lián)系我斯福賽特用我們資金池協(xié)助您解決。