Eemaldage Sage viirus (Viiruse eemaldamise juhend) - Aug 2017 uuendus

Mis on Sage lunavaraviirus?

Sage lunavara tugevdab oma positsiooni internetimaastikul

Sage viirus meenutab meile Cerber lunavara, mis loob igale nakatunud kasutajale hästi struktureeritud makselehe. Nakkus toimib arvutiviirusena, mis tungib arvutisse petturlikke ja ebaseaduslikke võtteid kasutades ning krüpteerib failid RSA 4096 avaliku võtme abil, lisades seejärel .sage faililaienduse igale failile.

Privaatset võtit hoitakse kriminaalide serverites, mistõttu pole võimalik neile ligi pääseda. Pärast seda muudab viirus töölaua taustapildi AVuKmu.bmp pildiks, mis sisaldab informatsiooni lunavara rünnaku kohta. Töölaua pilt käsib ohvril alla laadida Tor brauser ning suunduda salajasele makselehele.

Makselehele pääsemiseks peab ohver teadma oma isiklikku ID-d, mida hoitakse failides !Recovery_AVuKmu.txt ja !Recovery_AVuKmu.html. Isikliku makselehe nimi on Sage User Area ning sellel on viis sektsiooni: Home, Payment, Test Decryption, Instructions, ja Support ehk vastavalt Pealeht, Maksed, Testkrüpteerimine, Juhised ja Tugi.

Pealeht annab ohvrile teada lunavara hinna (0,73962 BTC-d ehk $545) ning näitab taimerkella, mis utsitab ohvrit kiiremini maksma. Viiruse sõnul hävitatakse unikaalne dekrüpteerimisvõti, kui taimeri kell jõuab nullini. Makselehel selgitab viirus, kuidas osta Bitcoine.

Eriskummaline on asjaolu, et petturid on iga ohvri jaoks loonud individuaalse Bitcoini rahakoti ehk teisisõnu, ohvrid ei tee ülekannet samasse rahakotti, vaid tuhandetele erinevatele. Kriminaalid annavad lausa rahakoti QR-koodi, et ohver teeks ülekande õigesse rahakotti.

Nagu ka Cerber ja teised edasiarenenumad lunavaraviirused, pakub Sage tasuta võimalust dekrüpteerida üks fail. Niiviisi antakse ohvrile tõestus, et kurjategijad suudavad tõepoolest dekrüpteeritud failid avada. Juhiste leht kirjeldab, kuidas Sage dekrüpteerijat kasutada ning Toe lehe kaudu saab suhelda pahavara ohvritega.

Sage lunavaraviiruse arendajad ulatavad kasutajatele abikäe maksetoimingu ajal.

Pahavara paigutab operatsioonisüsteemi mitmeid faile, mistõttu ei pruugi vähesema kogemusega arvutikasutaja neid kõiki üles leida. Seepärast soovitame tungivalt kasutada professionaalset pahavaratõrjet nagu FortectIntego või SpyHunter 5Combo Cleaner.Enne Sage'i eemaldamist, mõtle sellele, millist pahavaratõrjet soovid kasutada.

Kui sul on aga juba selline programm, veendu, et sa uuendaksid seda siis, kui arvuti on avatud režiimis Safe Mode with Networking. Kui sul ei ole pahavaratõrjet, eemalda Sage viirus kasutades meie soovitatud programme või ükskõik millist teist usaldusväärset pahavaratõrjet. Sa leiad kasulikke tarkvaraarvustusi meie lehekülje tarkvara sektsioonist.

Sage'i teised versioonid

Sage 2.0 lunavaraviirus. See variant ei muutunud mitte üksnes virtuaalkogukonna suureks peavaluallikaks, vaid kütkestas lausa teaduslikku huvi. Aina uute versioonide tõttu kinnitas pahavara oletusi, et kurikuulus Cerber viirus peidab end selle ohu taga. Viirus aktiveerib end VBScript abil. Kaaperdamise käigus kustutab see käivitusfaili ja asetab selle koopia kausta %AppData%.

Kriminaalid üritavad luua varikatte, nimetades käivitusfaile igas nakatunud arvutis erinevalt. ! Recovery_ .html juhistest leiavad ohvrid lisainfot selle kohta, kuidas pääseda unikaalsele Sage 2.0 makselehele. Sellest rääkides meenutab see teist kiirelt levivat ohtu – Spora lunavara.

Ka Sage 2.0 suudab kustutada varikoopiad, jättes väga vähe võimalusi failide taastamiseks. Sellele lisaks asetab see oma lingi Startup kausta, mistõttu suudab pahavara jätkata dekrüpteerimise protsessi isegi arvuti taaskäivitamisel. Levimisviisidest kasutab versioon peamiselt pettuseid ja rämpskirju.

Ära kiirusta personaalselt adresseeritud kirjade avamisega, nt EMAIL_[suvalised numbrid]_saaja.zip. See fail sisaldab tegelikult JavaScripti ning on üks võtmefaile, mis vastutab viiruse aktiveerimise eest.

Sage 2.2 lunavaraviirus. Selle versiooniga otsustasid kurjategijad parandada ohu tehnilist võimekust ning ka välimust. Näiteks muudeti lunateate tekst punasest roheliseks ning samuti muudeti juhisefailide nime. Nüüd esitatakse maksmise ja andmete taastamise kohta käivat informatsiooni failis !HELP_SOS.bmp.

See suunab teatud veebilehele, kus ohvritel palutakse tasuda konkreetne rahasumma. See võib kusjuures varieeruda 99 dollarist 2000 dollarini. Huvitaval kombel ilmutab see versioon rohkem Cerberi funktsioone. Sage 2.2 sisaldab audiofaili, mis teavitab ohvreid ja julgustab makset tegema. Aega lugev kell muudab lehe veelgi närvesöövamaks. Krüpteerimisest rääkides lisab versioon samasuguse .sage faililaienduse.

Makselehel on võimalik valida 18 erineva keele vahel. Nagu Cerberi puhul, on välja jäetud mitmed riigid nagu Ukraina, Valgevene, Kasahstan, Venemaa, Läti. Kui sa jälgid arvuti protsesse Task Manageris, võid märgata, et küberoht lõpetab või limiteerib mitmeid olulisi protsesse, et teostada krüpteerimisprotsess sujuvamalt.

Näib, et pahavara ei võta sihikule just konkreetseid süsteemikaustu, kuid võib halvata täielikult “League of Legends” mängu. Rämpskirjad ja pettused on endiselt põhilised levimisviisid, ent see viirus võib kasutada ka ründevara. Seetõttu peaksid end varustama korralike turvaprogrammidega.

Võimalikud viisid, kuidas Sage lunavara nakatab arvutit

Sage viirust levitatakse edasiarenenud pahavara levitamisviiside kaudu. Enamikel juhtudel saab pahavara alla laadida nakatunud veebilehtedelt, petturlikest e-kirja manustest, pahavaralistest reklaamidest või ründevarade kaudu. Vahel võib kogemata pahavara laadida ka üheskoos legitiimsete programmidega, kuid üksnes siis, kui laadida programm kahtlaselt veebilehelt.

Vahel on tegelikult lihtne vältida pahavararünnakut, kuid suurel hulgal juhtudest rändavad pahavaralised programmid Trooja hobu tehnikat kasutades, mis tähendab, et need on maskeeritud. Näiteks võivad need teeselda end olevat Flash Player või Java uuendused, tasuta mängud, failid, dokumendid või misiganes muud dokumendid, mis esmapilgul ei tundu olevat ohtlikud.

Kui sa aga avad sellise programmi või faili teadmata, et see on nakatunud, satub arvutisse ohtlik viirus väga kiiresti. Selliste olukordade vältimiseks soovitame tungivalt kaitsta oma arvutit pahavaratõrjega.

Sage 2 lunavara alustas tegutsemist 2017. aasta alguses

Selle lunavaraprojekti arendaja näib võtvat oma eesmärke üsna tõsiselt ning seetõttu on juba loodud kurikuulsale lunavarale uus versioon. Sage 2 viirust levitatakse hetkel rämpskirjade kaudu, kuhu on lisatud kaasa .ZIP fail. Faili nimi on EMAIL_[suvalised numbrid]_saaja.zip või lihtsalt [suvalised numbrid].zip. See arhiiv võib sisaldada teist .zip faili või hoopis JS või Word faili.

Kui see käivitada, laadib JS fail lunavara veebiserverist, samas kui Word fail vajab, et ohver aktiveeriks ka Macro funktsiooni. Kui ohver teeb seda, laaditakse pahavara arvutisse. Esmalt jääb lunavara natukeseks ootele ja salvestab enda koopia arvuti \AppData\Roaming kausta. Fail avab ja käivitab automaatselt User Account Control-i. Seejärel krüpteerib lunavara kõik failid, mis on selle sihtnimekirjas ja salvestab töölauale lunarahateate !Recovery_[3 random chars].html faili näol.

Lunarahateade käseb ohvril külastada Sage 2.0 makselehte. Seal saab ohver teada, kui palju raha nõutakse – soovitakse saada $2000 Bitcoinides. Kui ohver ei maksa lunaraha 7 päeva jooksul, kahekordistatakse lunaraha suurust. Paraku ei ole võimalik viirust dekrüpteerida ühegi tasuta andmete taastamise tööriistaga. Lisainfo jaoks Sage 2.0 kohta soovitame lugeda seda artiklit..

Sage lunavarast vabanemine – võimatu missioon?

Sage viirus paigutab arvutisse mitmeid pahavaralisi faile, nende seas AVuKmu.bmp, 1.tmp, 1.tmp, hPBic1zL.tmp, VIxkxhFa.lnk ja teised. Viirus lisab end ka Startup programmide nimekirja, et automaatselt töötada iga kord, kui ohver arvutit käivitab.

Sage lunavara eemaldamiseks soovitame taaskäivitada oma arvuti režiimis Safe Mode w/ Networking (juhised selle kohta, kuidas seda teha, on sinu jaoks valmistatud ja sind ootamas – leiad juhised allpoolt!). Palun ära alusta Sage'i eemaldamist ilma oma arvutit käivitamata nii nagu selgitatud allpool, kuna viirus võib lihtsalt peatada su viirusetõrje iga kord, kui sa üritad seda avada.

Kuigi hetkel ei saa me sulle pakkuda ühtegi 100% efektiivset andmete dekrüpteerimise tööriista, mis suudaks dekrüpteerida .sage faililaiendusega failid, vaata allpool olevaid võimalikke abi pakkuvaid andmete taastamise võimalusi.