Sage Ransomware - Hoe Te Verwijderen?

 

Sage ransomware werd geschreven vanuit de broncode, wat de code van TeslaCrypt is. Het is één van de vele versleuteling Trojanen, maar ondanks het feit dat de Sage crypto-malware geen specifieke eigenschappen heeft is het niet minder gevaarlijk. De naam van deze gevaarlijke ransomware omschrijft het goed – er wordt geen decodering service voorzien door de cyber beveiligingsingenieurs. Momenteel worden gebruikers uitgenodigt te weten te komen wat men reeds ontdekt heeft over het Sage file-encrypting virus.

De Specificaties van de Sage Ransomware

De Sage crypto-locker gebruikt het asymmetrisch versleuteling schema om data dragers op de geïnfecteerde machine nutteloos te maken. De volgende types van data kunnen versleuteld worden door deze malware:

.3gp, .7z, .apk, .avi, .bmp, .cdr, .cer, .chm, .conf, .css, .csv, .dat, .db, .dbf, .djvu, .dbx, .docm, .doc, .epub, .docx, .fb2, .flv, .gif, .gz, .iso, .ibooks, .jpeg, .jpg, .key, .mdb, .md2, .mdf, .mht, .mobi, .mhtm, .mkv, .mov, .mp3, .mp4, .mpg, .mpeg, .pict, .pdf, .pps, .pkg, .png, .ppt, .pptx, .ppsx, .psd, .rar, .rtf, .scr, .swf, .sav, .tiff, .tif, .tbl, .torrent, .txt, .vsd, .wmv, .xls, .xlsx, .xps, .xml, .ckp, .zip, .java, .py, .asm, .c, .cpp, .cs, .js, .php, .dacpac, .rbw, .rb, .mrg, .dcx, .db3, .sql, .sqlite3, .sqlite, .sqlitedb, .psd, .psp, .pdb, .dxf, .dwg, .drw, .casb, .ccp, .cal, .cmx, .cr2

De extensies van deze bestanden krijgen nog een extra extensie toegevoegd, de naam van het codering programma. Bijvoorbeeld, het Movie.avi bestand, zal na versleuteling hernoemd worden als Movie.avi.sage. Hetzelfde wordt gedaan met alle doelwit bestanden die vergrendeld werden. Nadat alle geviseerde data versleuteld werd, wat betekent dat het versleutelingsproces voltooid werd, krijgt de betrokken gebruiker deze twee bestanden te zien: !Recovery_[your ID].txt en !Recovery_[your ID].html, welke de volgende losgeldbrief bevatten:

AANDACHT!

Sage heeft al je bestanden versleuteld!

Al je bestanden, afbeeldingen, video’s, en databases werden versleuteld en ontoegankelijk gemaakt door de software gekend als Sage.

Je kan de bestanden onmogelijk herstellen zonder onze hulp. Maar als je onze instructies volgt kunnen de bestanden gemakkelijk hersteld worden. Instructies over hoe je bestanden terug te krijgen worden op elke schijf bewaard, in je documenten en op je bureaublad. Zoek naar de bestanden !Recovery_[your ID].txt en !Recovery_[your ID].html

Als je deze bestanden niet kan vinden, gebruik dan de “Tor Browser”(deze vind je terug met Google) om toegang te krijgen tot de (onion)website http://qbxeaekvg7o3lxnn.onion om je instructies te ontvangen.

Het losgeld dat de ontwerpers van Sage file-locker verwachten dat de slachtoffers betalen bedraagt 560 USD tot 1120 USD. De eerste som is de initiële betaling, terwijl de tweede het bedrag is dat de gemartelde gebruikers moeten betalen na één week van versleuteling.

Werd je aangevallen door de Sage Ransomware?

Wat je moet doen als je computer geïnfecteerd werd met de Sage ransomware infectie, zal nu worden uitgelegd. Als eerste dien je een image van de aangetaste data te maken. Als geen van de volgende data recovery methodes helpt voor jou, zal je moeten wachten op de decoder van beveiligingsexperten, waarvoor je over deze kopieën moet beschikken. Dan moet je de ransomware verwijderen. Het Sage virus zou moeten verwijder worden met de Reimage, Spyhunter of Malwarebytes antivirus apps. De handmatige instructies kan je terugvinden op het einde van dit artikel, maar ze kunnen moeilijk zijn om te implementeren. Bovendien kunnen er, naast de eigenlijke ransomware, ook nog bijkomende malware programma’s op je systeem geïnstalleerd worden, welke buiten beschouwing gelaten worden als je opteert om de malware handmatig te verwijderen. Daarenboven zal het je pc ontbreken aan de nodige bescherming en kunnen er zich gelijkaardige infecties voordoen.

Enkel na het verwijderen van de malware, is het tijd om je data te herstellen. Controleer hiervoor VSS (de Volume Shadow Copy Service), of deze actief was op je systeem en of de systeemherstel functie niet werd aangetast. Gebruik de verwijderbare schijven, als deze niet aangesloten waren tijdens of na de infectie voor het virus werd verwijdert. Als je data bewaarde op online opslag, gebruik deze dan. Er is ook data recovery software beschikbaar, zoals Recuva, etc., welke gebruikt kan worden.

De bron van de Sage ransomware werd nog niet geïdentificeerd. Wees dus zeer voorzichtig, zeker als je geen bijgewerkte en betrouwbare beveiliging software op je pc geïnstalleerd hebt. De gemeenschappelijke bronnen van ransomware infecties zijn spam mails, nep downloads, gecompromitteerde websites en geïnfecteerde advertenties.

Hoe Sage Ransomware verwijderen via het Systeemherstel?

1. Herstart je computer in Veilige Modus met Opdracht Prompt


voor Windows 7 / Vista/ XP
  • Start → Afsluiten → Herstarten → OK.
  • Druk herhaaldelijk op de F8 toets tot het Geavanceerde Boot Opties venster verschijnt.
  • Kies Veilige Modus met Opdracht Prompt. Windows 7 enter safe mode

voor Windows 8 / 10
  • Druk op Aan/Uit op Windows aanmeldscherm. Druk dan op de Shift toets en hou hem ingedrukt en klik op Herstarten. Windows 8-10 restart to safe mode
  • Kies probleemoplossing → Geavanceerde Opties → Opstart instellingen en klik op herstarten.
  • Terwijl het laadt, selecteer Veilige Modus met Opdracht Prompt inschakelen uit de lijst van Opstart Instellingen.Windows 8-10 enter safe mode

Systeembestanden en instellingen herstellen.
  • Als de Opdracht Prompt modus laadt, geef je cd herstel in en druk op Enter.
  • Geef dan rstrui.exe in en druk opnieuw op Enter.CMD commands
  • Klik op “Volgende” in het venster dat verscheen. Restore point img1
  • Selecteer één van de Herstelpunten die beschikbaar zijn voor dat Sage Ransomware je systeem geïnfiltreerd heeft en klik dan op “Volgende”.Restore point img2
  • Om het Systeemherstel te starten klik je op “Ja”. Restore point img3

2. Complete verwijdering van Sage Ransomware

Na het herstellen van je systeem, is het aangeraden om je computer te scannen met een anti-malware programma, zoals Reimage, Spyhunter en verwijder alle kwaadaardige bestanden die gerelateerd zijn aan Sage Ransomware.


3. Herstel door Sage Ransomware aangetaste bestanden met “Shadow Volume Copies”

Als je de Systeemherstelfunctie niet gebruikt, kan shadow copy momentopnamen gebruiken. Deze bewaren kopieën van je bestanden op het tijdstip dat de systeemherstel momentopname aangemaakt werd. Meestal probeert Sage Ransomware om alle Shadow Volume Copies te verwijderen, dus het kan zijn dat deze methode niet op alle computers werkt.

Shadow Volume Copies zijn enkel beschikbaar voor Windows XP Service Pack 2, Windows Vista, Windows 7, en Windows 8. Er zijn twee manieren om je bestanden te herstellen via Shadow Volume Copy. JE kan dit doen via ‘native Windows Previous Versions’ of via Shadow Explorer.

a) Native Windows Previous Versions

Rechtermuisklik op een gecodeerd bestand en selecteer Eigenschappen>Vorige versies tab. Nu zal je alle beschikbare kopieën van dat specifiek bestand en het tijdstip wanneer het opgeslagen werd in een Shadow Volume Copy. Kies de versie van het bestand dat je wil herstellen en klik op Copy als je het in dezelfde map als die van jou wil bewaren, of Herstellen als je het bestaande, gecodeerde bestand wilt. Als je eerst de inhoud van het bestand wilt zien, klik dan gewoon op openen.
Previous version

b) Shadow Explorer

Het is een gratis programma dat je online kan vinden. Je kan ofwel de volledige of de draagbare versie van Shadow Explorer downloaden. Open het programma. Selecteer in de linker bovenhoek de schijf waar het bestand waar je naar opzoek bent bewaard werd. Je zal alle mappen op die schijf te zien krijgen. Om een volledige map op te halen, rechtermusiklik er op en selecteer “Exporten”. Kies dan de locatie waar je het wilt bewaren.
Shadow explorer

Opmerking: In veel gevallen is het onmogelijk om de bestanden die aangetast werden door moderne ransomware te herstellen. Daarom raad ik aan om een degelijke cloud back-up software te gebruiken uit voorzorg. We raden je aan om Carbonite, BackBlaze, CrashPlan of Mozy Home eens te bekijken.

 

Sage Ransomware schermafbeeldingen

 
     
 

Over de auteur

 
december 18, 2016 14:46, december 18, 2016 14:46
 
   
 

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *