<u id="hsu4w"></u>
    <u id="hsu4w"></u>

    <source id="hsu4w"></source>
      關于愛特| 版權申明| 收藏本站| 網站地圖 歡迎來到合肥愛爾特信息科技有限公司官網!
      全國24小時專家熱線400-668-9959
      合肥數據恢復

      您是不是在找:服務器硬盤恢復愛特數據恢復數據庫恢復筆記本硬盤數據恢復

      Sage勒索病毒比特幣勒索數據如何解密,恢復案例分析

      文章出處:愛特數據恢復責任編輯:愛特編輯人氣:-發表時間:2017-04-28 14:39【

      從2017年開始,國內外網友的計算機陸續感染了一種新的病毒--Sage病毒。


      2.png

      3.png


      Sage勒索軟件是勒索軟件家族的一個新成員,也是勒索軟件CryLocker的一個變種。從目前情況分析,隱藏在Sage背后的始作俑者與勒索軟件Cerber、Locky和Spora的散布者應該師出同門。

      下面我們將會對Sage病毒做詳細的分析

      一、中毒特征

      計算機感染Sage病毒以后,大量文件后綴被加上了“.sage”的后綴。


      4.png


      一些重要的文件夾內,都會自動生成一個!HELP_SOS.hta文件8.png。打開后會出現黑客留下的的勒索信息。


      5.png


      如果您的計算機中毒后的情況和我上述描述的情況相同,那么很遺憾,您的計算機已經被感染了Sage病毒。

      二、Sage病毒分析

      1、Sage 2.0/2.2 Ransomware - 它如何感染電腦

      對于感染過程,此版本的Sage勒索軟件可能會使用包含欺騙性消息的惡意電子郵件垃圾郵件。 消息可以是各種類型,并且旨在說服潛在的受害者打開這些電子郵件的惡意.zip文件附件。 可用于感染Sage 2.2的欺騙性主題的示例有:

      § “您的PayPal交易已完成。

      § “您的網上銀行帳戶可疑活動。 (銀行名)”。

      § “您的發票。

      可能有許多其他電子郵件感染了Sage勒索軟件,他們都可能攜帶檔案作為文件附件。 檔案可以是隨機命名的,例如“6207_ZIP.zip” 。 在.zip文件中,有兩種類型的文件導致感染:

      § 一個JavaScript .js文件,在打開后立即導致感染。

      § Microsoft Office文檔.doc文件,當您單擊“啟用內容”按鈕以啟用宏時,該文件會導致感染。 這些宏在其中具有惡意腳本。

      2、Sage 2.0/2.2 Ransomware - 感染后發生了什么

      在用戶PC被Sage 2.2病毒感染之后,可以使用不安全的端口連接到網絡罪犯分發站點并在受感染的計算機上下載有效載荷。

      Sage 2.2勒索軟件的有效負載包括多個可執行文件和臨時文件,它可能包含一個.dll類型的模塊,它還包含Sage 2.2勒索軟件的Wallapaper和它的“解密指令” 。

      3、Sage 2.0/2.2 Ransomware - 加密分析

      關于文件的加密,Sage 勒索軟件使用強加密算法。 此密碼會使受感染計算機上的文件無法打開。 病毒攻擊

      “PNG .PSD .PSPIMAGE .TGA。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD文件.DWG .DXF GIS文件.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF編碼文件.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio檔案.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA視頻文件.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。ICNS .ICO .LNK .SYS .CFG“

      一旦Sage病毒檢測到在受感染的計算機上有這種類型的文件,它會立即使它們無法再打開,并將.sage文件擴展名添加到文件中。 除了文件的加密之外,Sage病毒還可以刪除受感染計算機的影子卷拷貝。 執行此操作以通過管理命令(稱為vssadmin)銷毀恢復它們的任何可能性。

      三、破解恢復方法

      目前國內針對sage病毒的恢復方法,大致歸為三類。

      1.向黑客繳納贖金

      這種方法我們不推薦,因為不是很保險。交完贖金后,黑客無法聯系,黑客只留下支付的賬號。繳納贖金后,可能得不到黑客發送的破解密鑰。有以下幾種可能性:黑客身份敗露,被警察逮捕,無法發送破解密鑰;黑客金盆洗手,不從事該行當,你打了錢也沒人與你聯系;黑客的賬戶被封,你付的款,黑客無法知道;黑客的解密服務器出現問題,無法進行破解密鑰的執行。即使最終得到了黑客的密鑰,也有可能因為最初加密的過程中,有過關機,那么加密程序會出現bug,導致最終解密的文件不完整。

      有些數據恢復公司更是借助這種方式,向客戶收取高額的贖金和傭金,讓客戶受到二次敲詐。我們強烈譴責這種為同行業抹黑的行為。

      2.暴力破解。

      這種方法非常復雜和耗時間。在勒索軟件中,Sage病毒是非常特別的一個存在,因為它采用了橢圓曲線加密算法對文件進行加密。

      加密所使用的橢圓曲線函數是“y^2 = x^3 + 486662x^x + x”,使用的素數范圍是“2^255 – 19”,基數變量x=9。Sage所采用的橢圓曲線是著名的Curve25519曲線,是現代密碼學中最先進的技術。Curve25519不僅是最快的ECC(Elliptic Curve Cryptography,橢圓曲線加密算法)曲線之一,也不易受到弱RNG(Random Number Generator,隨機數生成器)的影響,設計時考慮了側信道攻擊,避免了許多潛在的實現缺陷,并且很有可能不存在第三方內置后門。

      據了解業內還無成功案例,期待好消息。

      3.修復數據

      我公司有著多年的數據恢復經驗,通過研究學習,已經成功解決了多起針對客戶數據庫的sage病毒案例。

      上個星期有一個客戶,電腦不幸感染了Sage病毒,里面重要的數據庫文件也被加密了??蛻糇稍兞撕芏嗉覕祿謴凸?,都告訴他要繳納巨額的贖金才可以從黑客手中拿到密鑰,并且還要支付給他們一筆不小的傭金。后來通過網絡,客戶找到了我們,我們如實地告訴了客戶繳納贖金的不安全性和不確定性以及關于修復的可能性??蛻袅私夂?,對我們的專業知識和坦誠的態度都很贊賞,放心地把文件交給我們嘗試修復。我們專業的工程師經過了1天1夜的努力,終于給客戶帶來了好消息。修復前所有的數據庫文件都被加密勒索,如下圖:修復前和修復后文件對比


      6.png


      修復后 ,文件經測試,均可正常使用??蛻舯硎緦ξ覀兊幕謴徒Y果非常滿意和認可。

      如果您也不幸感染了Sage病毒,歡迎和我們聯系咨詢。


      7.png

      9.png


      1.不要“病急亂投醫”,避免再次被坑,斷網絡,不要再其他沒有被加密的U盤、移動硬盤等存儲介質,及時和我們聯系:13305512885,我們有著多年經驗的專業解密工程師提供一對一的優質服務,將盡可能用最小的代價幫你解密/恢復數據,以及獲得最新的資訊。

      2.保護好源文件不受二次破壞,或登錄我們的網站www.tt7pk.com了解比特幣勒索病毒相關最新信息。

      Messages在線診斷輸入聯系方式,專業客服團隊將在15分鐘內聯系你

      成年片黄网站色大全