Ransomware SAGE 2.2
El cambiante panorama digital ha generado amenazas cada vez más sofisticadas, lo que hace imperativo que los usuarios protejan sus dispositivos contra ataques maliciosos. Entre las familias de ransomware más avanzadas, SAGE 2.2 se destaca como una cepa potente y altamente disruptiva. Comprender su comportamiento e implementar medidas de seguridad sólidas son pasos cruciales para proteger los datos personales y organizacionales.
Tabla de contenido
El ransomware SAGE 2.2: cómo funciona
SAGE 2.2 es una variante avanzada de la familia de ransomware Sage , diseñada para cifrar archivos en un sistema infectado y exigir un pago por su recuperación. Al infiltrarse, el ransomware añade la extensión ".sage" a los archivos cifrados, lo que los vuelve inaccesibles. Por ejemplo, un archivo llamado "1.png" se convierte en "1.png.sage", mientras que "2.pdf" se modifica a "2.pdf.sage".
Una vez completado el cifrado, SAGE 2.2 modifica el fondo de pantalla del escritorio de la víctima y genera una nota de rescate titulada '!HELP_SOS.hta'. Este mensaje aparece en varios idiomas, entre ellos inglés, alemán, italiano, portugués, español, francés, coreano, holandés, árabe, persa y chino. Además de una exigencia escrita, un mensaje de audio refuerza la urgencia de cumplir con las instrucciones de los atacantes.
Demandas de rescate y amenazas
La nota de rescate informa a las víctimas de que sus archivos han sido bloqueados y que el descifrado solo es posible a través de la herramienta 'SAGE Decryptor', que requiere una clave de descifrado única. Los atacantes proporcionan enlaces que dirigen a las víctimas a sitios web específicos donde se espera el pago. Si estos enlaces fallan, la nota de rescate recomienda utilizar el navegador Tor para acceder a ellos de forma anónima. También se incluyen instrucciones detalladas para descargar y navegar por Tor, lo que garantiza que las víctimas puedan llegar al portal de pago sin interferencias.
A pesar de las promesas de los cibercriminales, pagar el rescate no garantiza la recuperación de los archivos. Los atacantes pueden retener la herramienta de descifrado incluso después de recibir el pago, lo que deja a las víctimas con datos irrecuperables. Además, las amenazas de ransomware a menudo continúan ejecutándose en segundo plano y pueden cifrar archivos adicionales o propagarse por la red local si no se eliminan rápidamente.
Cómo SAGE 2.2 infecta los dispositivos
SAGE 2.2 emplea múltiples vectores de infección para infiltrarse en los sistemas. Uno de los métodos más comunes implica correos electrónicos engañosos que contienen archivos adjuntos o enlaces maliciosos. Los usuarios desprevenidos que abren estos archivos adjuntos o hacen clic en enlaces incrustados pueden ejecutar ransomware sin saberlo en sus dispositivos.
Además, los sitios web comprometidos o fraudulentos sirven como conductos para la distribución de ransomware. Los cibercriminales pueden explotar vulnerabilidades de software, utilizar fraudes de soporte técnico falsos o inyectar scripts corruptos en anuncios en línea para distribuir la carga útil. La descarga de software pirateado o el uso de aplicaciones de terceros no verificadas también pueden exponer los sistemas a infecciones.
Mejores prácticas de seguridad para defenderse del ransomware
Dada la gravedad de los ataques de ransomware, es fundamental adoptar medidas de seguridad proactivas para minimizar el riesgo de infección y pérdida de datos. Las siguientes prácticas recomendadas ayudan a reforzar las defensas de los dispositivos contra amenazas como SAGE 2.2:
- Copias de seguridad de datos periódicas : mantener copias de seguridad seguras y actualizadas en almacenamiento externo o servicios en la nube garantiza que los datos se puedan recuperar en caso de un ataque. Las copias de seguridad deben mantenerse sin conexión para evitar que el ransomware las encripte.
- Vigilancia del correo electrónico : los usuarios deben tener cuidado al manipular correos electrónicos de remitentes desconocidos. Evite abrir archivos adjuntos inesperados o hacer clic en enlaces sospechosos, ya que pueden contener ransomware.
- Actualizaciones de software y sistemas : mantener actualizados los sistemas operativos, las aplicaciones y el software de seguridad ayuda a reparar vulnerabilidades que los cibercriminales pueden explotar. Las actualizaciones automáticas deben estar habilitadas siempre que sea posible.
- Protección sólida de endpoints : la implementación de un software de seguridad confiable brinda protección en tiempo real contra ransomware y otras amenazas. Las funciones como la detección basada en el comportamiento pueden identificar y bloquear las actividades de ransomware antes de que causen daños.
- Uso de listas blancas de aplicaciones : restringir la ejecución de programas sin aprobación administrativa ayuda a evitar la ejecución de software no autorizado, lo que reduce la probabilidad de infecciones de ransomware.
- Restricción de macros en documentos de Office : los cibercriminales suelen incorporar macros maliciosas en documentos para desencadenar descargas de ransomware. Deshabilitar las macros de forma predeterminada ayuda a prevenir este tipo de ataques.
- Medidas de seguridad de la red : las organizaciones deben implementar firewalls, sistemas de detección de intrusiones y segmentación de la red para limitar el movimiento de ransomware y evitar el cifrado generalizado.
Al adoptar estas prácticas de seguridad, los usuarios pueden reducir significativamente su exposición a amenazas de ransomware y minimizar el impacto de posibles infecciones.
SAGE 2.2 es una variante de ransomware altamente disruptiva que cifra archivos, modifica la configuración del sistema y exige un pago para descifrarlos. Emplea tácticas engañosas, como notas de rescate multilingües y portales de pago basados en Tor, para obligar a las víctimas a cumplir con sus obligaciones. Sin embargo, pagar el rescate no ofrece ninguna garantía de recuperación de datos y puede alentar otras actividades delictivas.
La defensa más eficaz contra el ransomware es la prevención. Implementar prácticas de seguridad sólidas, realizar copias de seguridad periódicas y tener cuidado al navegar y abrir correos electrónicos puede ayudar a los usuarios a proteger sus dispositivos y datos de las amenazas cibernéticas.
Mensajes
Se encontraron los siguientes mensajes asociados con Ransomware SAGE 2.2:
|
*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! *** *** PLEASE READ THIS MESSAGE CAREFULLY *** All your important and critical files, databases, images and videos were encrypted by "SAGE 2.2 Ransomware"! "SAGE 2.2 Ransomware" uses military grade elliptic curve cryptography, so you have no chances restoring your files without our help! But if you follow our instructions we guarantee that you can restore all your files quickly and safely! We created files with instructions named !HELP_SOS in every folder with encrypted files. *** Please be sure to copy instruction text and links to your notepad to avoid losing it *** ----------------- In case you can't find instructions, try opening any of these links: ===== Your personal key ===== - ====== If can't open any of those, you can use "TOR Browser" TOR Browser is available on the official website: hxxps://www.torproject.org/ Just open this site, click on the \"Download Tor\" button and follow the installation instructions Once "TOR Browser" in installed, use it to access - |
|
File recovery instructions You probably noticed that you can not open your files and that some software stopped working correctly. This is expected. Your files content is still there, but it was encrypted by "SAGE 2.2 Ransomware". Your files are not lost, it is possible to revert them back to normal state by decrypting. The only way you can do that is by getting "SAGE Decrypter" software and your personal decryption key. Using any other software which claims to be able to restore your files will result in files being damaged or destroyed. You can purchase "SAGE Decrypter" software and your decryption key at your personal page you can access by following links: If none of these links work for you, click here to update the list. Updating links... Something went wrong while updating links, please wait some time and try again or use "Tor Browser" method below. Links updated, if new ones still don't work, please wait some time and try again or use "Tor Browser" method below. If you are asked for your personal key, copy it to the form on the site. This is your personal key: - You will also be able to decrypt one file for free to make sure "SAGE Decrypter" software is able to recover your files If none of those links work for you for a prolonged period of time or you need your files recovered as fast as possible, you can also access your personal page using "Tor Browser". In order to do that you need to: open Internet Explorer or any other internet browser; copy the address hxxps://www.torproject.org/download/download-easy.html.en into address bar and press "Enter"; once the page opens, you will be offered to download Tor Browser, download it and run the installator, follow installation instructions; once installation is finished, open the newly installed Tor Browser and press the "Connect" button (button can be named differently if you installed non-English version); Tor Browser will establish connection and open a normal browser window; copy the address - into this browser address bar and press "Enter"; your personal page should be opened now; if it didn't then wait for a bit and try again. If you can not perform this steps then check your internet connection and try again. If it still doesn't work, try asking some computer guy for help in performing this steps for you or look for some video guides on YouTube. You can find a copy of this instruction in files named "!HELP_SOS" stored next to your encrypted files. |
