从201八年慢慢，国屋内外前男友的换算机陆陆续续传染一种新的疫情感染--Sage疫情感染。

Sage讹诈软文是讹诈软文宗族的同某个新班子，也是讹诈软文CryLocker的同某个变种。从现今状态具体分析，隐蔽在Sage背面的始作俑者与讹诈软文Cerber、Locky和Spora的遍布者是师出同门。

接下来，企业就会有对Sage木马病毒做详情的探讨

一、种毒特殊性

计算出来机感然Sage病毒有哪些日后，很大程序尾缀被加好了“.sage”的尾缀。

两个最重要的文档zip文件夹名称内，都有系统自动转化两个!HELP_SOS.hta文档zip文件。拉开完会导致入侵网站留在的的敲诈勒索讯息。

只要您的工控机种毒后的实际情况下我和他上述内容叙述的实际情况下相等，那很遗憾作文，您的工控机已然被感梁了Sage电脑病毒。

二、Sage病菌分折

1、Sage 2.0/2.2 Ransomware - 它是怎样传染台式电脑

关于感动时，此固件版本的Sage讹诈app软件机会会用主要包括坑骗性信息内容的他人微电子厂email废品email。 信息内容需要是繁多的类型，另外从而劝说潜在的的侵害者开放这个微电子厂email的他人.zip文件格式扫描件。 要用于感动Sage 2.2的坑骗性题目的范例有：

§ “您的PayPal市场交易已完整。

§ “您的在网络上证券公司的账号异常情况运动。 (证券公司名)”。

§ “您的收据。

也可以有大多许多光学信息染病了Sage敲诈勒索图片软件，顾客都也可以过飞机安检人事个人档案看做文本辅料。 人事个人档案也可以是任意称的，列如 “6207_ZIP.zip” 。 在.zip文本中，有几种类形的文本造成染病：

§ 某个JavaScript .js系统文件，在打开微信后马上影响感梁。

§ Microsoft Officepdfzip文件名.doczip文件名，当您单击“起用主要内容”按钮开关以起用宏时，该zip文件名会引发感柒。 这个宏在在这其中包括不法游戏脚本。

2、Sage 2.0/2.2 Ransomware - 染病之后生了怎样的

在微信用户PC被Sage 2.2病原体感动后，也可以的使用不稳定的串口相连到在线犯罪者派发停靠站并在受感动的估算机器上下载链接有郊载重。

Sage 2.2敲诈appPC软件的很好的电动机扭矩包涵个可连接信息和按规定信息，它已经涉及到是一个.dll类型的的模快，它还涉及到Sage 2.2敲诈appPC软件的Wallapaper和它的“解密码消息” 。

3、Sage 2.0/2.2 Ransomware - 加密文件解析

观于材料的加密文件下载，Sage 敲诈pc软件选择强差密文件下载java算法。 此帐号密码会使受影响核算机器上的材料没有另存。 病毒感染进行攻击

“PNG .PSD .PSPIMAGE .TGA。THM .TIF .TIFF .YUV .AI .EPS .PS .SVG .INDD .PCT .PDF .XLR .XLS .XLSX .ACCDB .DB .DBF .MDB .PDB .SQL .APK .APP .BAT .CGI .COM .EXE。GADGET .JAR .PIF .WSF .DEM .GAM .NES .ROM .SAV CAD压缩文件资料名夹.DWG .DXF GIS压缩文件资料名夹.GPX .KML .KMZ .ASP .ASPX .CER .CFM .CSR .CSS .HTM .HTML .JS .JSP .PHP .RSS。 DOC .DOCX .LOG .MSG .ODT .PAGES .RTF .TEX .TXT .WPD .WPS .CSV .DAT .GED .KEY .KEYCHAIN .PPS .PPT .PPTX ..INI .PRF代码压缩文件资料名夹.HQX .MIM .UUE .ZZ.PKG.RAR.RPM.SITX.TAR.GZ.ZIP.ZIPX.BIN.CUE.DMG.ISO.MDF.TOAST.VCD SDF.TAR.TAX2014.TAX2015.VCF.XML Audio档案存放.AIF .IFF .M3U .M4A .MID .MP3 .MPA .WAV .WMA短视频压缩文件资料名夹.3G2 .3GP .ASF .AVI .FLV .M4V .MOV .MP4 .MPG .RM .SRT .SWF .VOB .WMV 3D .3DM .3DS .MAX .OBJ R.BMP .DDS .GIF .JPG .CRX .PLUGIN .FNT.F.OTF.TTF .CAB .CPL .CUR .DESKTHEMEPACK .DLL .DMP .DRV。ICNS .ICO .LNK .SYS .CFG“

一经Sage木马查测到在受交叉交叉感染的估算的机上的这类内型的压缩资料，它会立但是这句话是无法再浏览器打开，并将.sage压缩资料映射名调用到压缩资料中。 拿来压缩资料的图片加密囿于，Sage木马还能能全部删除受交叉交叉感染估算的机的黑影卷副本。 连接此进行以在安全管理指令(称呼vssadmin)注销恢复原状这句话的丝毫或许性。

三、一键破解医治形式

近年中国根据sage病毒码的医治形式，大约列入三大类。

1.向hack缴纳社保赎金

这些工艺企业不推薦，是由于都是很人寿保险。付完赎金后，入侵网站不了结合，入侵网站只留下来信用卡支付的邮箱账号。缴交赎金后，有机会得不出入侵网站运送的突破下载器密匙。有接下来些有机会性：入侵网站身份地位败露，被警方提起公诉，不了运送突破下载器密匙；入侵网站金盆消毒，不转做这个银行当，你出了钱也没人和你结合；入侵网站的账户里封禁，你付的款，入侵网站不了知晓;入侵网站的解秘服务性器有问题，不了实行突破下载器密匙的执行命令。是终结获取了入侵网站的密匙，也是有机会是由于初始数据加密文件格式的时候中，受过自动关机，如此数据加密文件格式系统会有bug，以至于终结解秘的文件格式不全面。

部分大数据可以恢复我司不仅也是借助此种模式，向合作方获取超额的赎金和淘宝客佣金，让合作方感受到再次敲诈。我减弱质问此种为相伴业抵毁的形为。

2.暴力行为解决。

这样的措施无比较为复杂和时长间。在敲诈工具中，Sage蠕虫病毒是无比独特的这个存在的，担心它采用了了圆柱体的曲线文件加密方式贝叶斯对zip文件来进行文件加密方式。

用户名和密码保护所用的圆锥体的线条美美美因变量是“y^2 = x^3 + 486662x^x + x”，用的素数标准是“2^255 – 19”，数量因变量x=9。Sage所进行的圆锥体的线条美美美是著明的Curve25519的线条美美美，是近现代用户名和现代密码学中最初进的方法。Curve25519往往是最快的的ECC（Elliptic Curve Cryptography，圆锥体的线条美美美用户名和密码保护计算方式）的线条美美美中的一个，也易接受弱RNG（Random Number Generator，自由数转换成器）的反应，设计制作时采取了侧端口功击，防止了不少隐性的实行弊病，以及很有可能会不现实存在第三个方内嵌式后门文件。

据掌握行业还无顺利实例，期盼可靠消息提醒。

3.修整大数据

我集团呈现出余年的数剧治愈技术，实现深入分析学业，都已经 取得成功消除了数百人真对的客户数剧库的sage病毒码案例库。

以前一周有颗个企业雇主，我的电脑没想到妇科感染了Sage木马病毒，之中核心的数据资料信息库文档相关文档文件目录也被加锁了。企业雇主在线咨询了一大堆家数据资料信息回复平台，都告知我他要补交巨额的赎金才都可以从hack手拿着获得秘钥，且必须支付行业给自己们一单较大的的提成。之后能够 网络数据资料，企业雇主找回了自己，自己事先地告知我了企业雇主补交赎金的不安全保障性和不肯确定各类有关于牙齿清理能力的或许性。企业雇主熟知后，对自己的正规知识基础点和坦白的对待都很称赞，信赖地把文档相关文档文件目录寄给自己试 牙齿清理能力。自己正规非常专业的工业师进行了1天1夜的拼搏，早就给企业雇主带给了什么好消息提示。牙齿清理能力前各个的数据资料信息库文档相关文档文件目录都被加锁敲诈勒索,有以下图：牙齿清理能力前和牙齿清理能力后文档相关文档文件目录比对

维修后 ，档案经测评，均可正常值运行。老客户表明.我们的恢愎的结果愈来愈不错和同意。

假若您也不是幸细菌感染了Sage病菌，祝贺和我们公司找管理咨询。

1.不“病急乱投医”，杜绝又一次被坑，掉线络，不再其他的未被文件加密的SD卡、电信固态盘等存贮媒介，按时和小编公司认识：13305512885，小编公司具有余年体力的技术专业解谜工作师带来两对一的优秀工作，将尽已经用比较小的绝不帮你解谜/恢复如初数据源，及拿到公布的最新资讯。

2.守护好源文件下载不主四次严重破坏，或扫码登录当我们的站点lesbergesdelile.com了解一下虚拟货币讹诈木马病毒相关联较新的消息。