Secuestrador de sistemas Sage

Conocido también como: Virus de .sage
Propagación: Bajo
Nivel de peligrosidad: <strong>Extremo</strong>

Descripción Desinfección Prevención

Instrucciones para eliminar el virus criptográfico Sage

¿Qué es Sage?

Sage es un virus secuestrador de equipos descubierto por Karsten Hahn y es una versión del virus encriptador CryLocker. Después de infiltrarse, Sage cifra diversos archivos y añade la extensión ".sage" al nombre de todos los archivos encriptados (p. ej. "ejemplo.jpg" pasaría a llamarse "ejemplo.jpg.sage"). Una vez completado el cifrado, Sage crea dos archivos ("!Recovery_[6_random_characters]_.txt" y "!Recovery_[6_random_characters].html") y los coloca en todas las carpetas que contengan archivos encriptados. También cambia el fondo del escritorio.

Los archivos txt y HTML contienen mensajes idénticos donde se pide una recompensa y se dice que los archivos han sido encriptados mediante criptografía asimétrica y solo pueden recuperarse con una clave privada. Para obtener esta clave, las víctimas deben pagar un rescate por valor de 150 $. Si el pago no se realiza dentro del plazo dado (se muestra un temporizador en el sitio web de Sage), la recompensa se duplicará hasta los $300. Para pagar, las víctimas tienen que ir a un sitio web Tor (se facilita un enlace en el mensaje) y seguir instrucciones detalladas. Sage emplea un algoritmo de cifrado asimétrico, por lo que es lamentablemente cierta la afirmación de que es imposible desencriptar sin una clave privada. Los desarrolladores de Sage almacenan la clave en un servidor remoto; se insta y chantajea a las víctimas para que paguen por esta. Los ciberdelincuentes suelen ignorar a sus víctimas aunque se hayan realizado los pagos. Por tanto, no debe considerar la opción del pago, ya que existe una probabilidad real de que le estafen. Le recomendamos encarecidamente que haga caso omiso de todas las peticiones de pago y no contacte con esa gente. No existen herramientas actualmente que sean capaces de restaurar los archivos encriptados por el ransomware Sage. Solo puede hacer frente al problema restaurando los archivos o el sistema a partir de una copia de seguridad.

Captura de pantalla (fondo de escritorio) del mensaje donde se insta a los usuarios a pagar la recompensa para desencriptar los archivos afectados:

instrucciones desencriptación Sage

Hay decenas de programas maliciosos que secuestran equipos y comparten similitudes con Sage. Algunos ejemplos son ASN1, Cerber, Dharma y otros tantos. Diversos análisis concluyen que todos estos virus presentan un comportamiento idéntico: encriptan archivos y exigen el pago de recompensas. Existen solo dos diferencias principalmente: 1) tipo de algoritmo de cifrado (simetríco/asimétrico) y 2) precio de desencriptación. Los virus de tipo ransomware se distribuyen a menudo a través de correos electrónico basura (adjuntos maliciosos), redes P2P y otras fuentes de descarga de software de terceros (sitios web de descarga gratuita, sitios web de alojamiento de archivos gratuitos, etc.), falsas herramientas de actualización de software y troyanos. Por tanto, vaya con cuidado al abrir archivos recibidos en e-mails sospechosos y al descargar software de fuentes no oficiales. Asimismo, mantenga actualizado el software instalado y no use nunca asistentes de actualización de terceros. Es imprescindible usar una solución fiable antivirus o antiespía. Lo fundamental de la seguridad informática es la precaución.

Mensaje donde se pide el rescate (mostrado en el fondo de escritorio):

ATTENTION!
Sage encrypted all your files!
All your files, images, videos, and databases were encrypted and made inaccessible by software known as Sage.
You have no chance to restore the files without our help. But if you follow our instructions files can be restored easily. Instructions on how to get your files back are stored on every disk, in your documents and on your desktop. Look for files !Recovery_47UdPQ.txt and !Recovery_47UdPQ.html If you can’t find files, use the program “Tor Browser” (you can find it in Google) to access to (onion) web site http://qbxeaekvg7o3lxnn.onion to get your instructions.

Captura de pantalla del archivo de texto de Sage:

archivo de texto Sage

Captura de pantalla del archivo HTML Sage:

instrucciones desencriptación Sage

Mensaje que insta al pago del rescate (mostrado en los archivos "!Recovery_[6_random_characters]_.txt" y "!Recovery_[6_random_characters].html"):

Not your language? Use hxxps://translate.google.com
WARNING!
YOUR DOCUMENTS, DATABASES, PROJECT FILES, AUDIO AND VIDEO CONTENT AND OTHER CRITICAL FILES HAVE BEEN ENCRYPTED WITH A PERSISTENT MILITARY-GRADE CRYPTO ALGORITHM
How did this happen?
Specially for your PC was generated personal 4096 bit RSA key, both public and private. All your files have been encrypted with the public key. Decrypting of your files is only possible with the help of the private key and de-crypt program.....
What do I do?...
Don't wait for a miracle and the price doubled!Start obtaining Bitcoin now and restore your data easy way! If you HAVE REALLY VALUABLE DATA, you better NOT WASTE YOUR TIME, because there is NO OTHER WAY to get your files, EXCEPT MAKE A PAYMENT.Your personal ID:..
For more specific instructions, please visit your personal home page, there are a few different addresses pointing to your page below:
1 - hxxp://qbxeaekvg7o3lxnn.onion.to
2 - hxxp://qbxeaekvg7o3lxnn.onion.cab
3 - hxxp://qbxeaekvg7o3lxnn.onion.city
What should you do with these addresses?

1. Take a look at the first address (in this case it is
hxxp://qbxeaekvg7o3lxnn.onion.to);
2. Select it with the mouse cursor holding the left mouse button and
moving the cursor to the right;
3. Release the left mouse button and press the right one;
4. Select "Copy" in the appeared menu;
5. Run your Internet browser (if you do not know what it is run the
Internet Explorer);
6. Move the mouse cursor to the address bar of the browser (this is the place where the site address is written);
7. Click the right mouse button in the field where the site address is written;
8. Select the button "Insert" in the appeared menu;
9. Then you will see the address hxxp://qbxeaekvg7o3lxnn.onion.to appeared there;
10. Press ENTER;

11. The site should be loaded; if it is not loaded repeat the same instructions with the second address and continue until the last address if falling.If for some reason the site cannot be opened check the connection to the Internet. Unfortunately these sites are short-term since the antivirus companies are interested in you do not have a chance to restore your files but continue to buy their products. Unlike them we are ready to help you always. If you need our help but the temporary sites are not available:
1. Run your Internet browser (if you do not know what it is run the Internet Explorer);
2. Enter or copy the address hxxps://www.torproject.org/download/download-easy.html.en into the address bar of your browser and press ENTER;
3. Wait for the site loading;
4. On the site you will be offered to download Tor Browser; download and run it, follow the installation instructions, wait until the installation is completed;
5. Run Tor Browser;
6. Connect with the button "Connect" (if you use the English version);
7. A normal Internet browser window will be opened after the initialization;
8. type or copy the address hxxp://qbxeaekvg7o3lxnn.onion in this browser address bar;
9. Press ENTER;
10. The site should be loaded; if for some reason the site is not loading wait for a moment and try again
!!! IMPORTANT !!!
Be sure to copy your personal ID and the instruction link to your notepad not to lose them.

Captura de pantalla del sitio web de Sage en Tor (página de inicio):

sitio web de Sage website (Inicio)

Texto mostrado en esta página:

Important Information! Please read very carefully!
Attention!
Sage encrypted all your files!
All your files, images, videos and databases where have been encrypted and no longer accessible by software known as Sage!
To restore all your files you need to pay $150 (≈ BTC 0.20357) for the decryption.
The after full payment, you will be able to download the software to restore your data.
In the case of non-payment of the full commission within 06 d 06 h 49 m 39 s,
the amount of commission will be raised to $300 (≈0.40713)
You have no chance to restore the files without our help!
The files will restored easily if you will follow our instructions!
In case of the repeated non-payment of the increased commission during the - period,
the unique decryption code for your files will be blocked
and its recovery will be absolutely impossible!

Captura de pantalla del sitio web de Sage (página de pago):

sitio web de Sage website (pago)

Texto mostrado en esta página:

Payment procedure How to pay?
Payment can only be made using the BitCoin system.
BitCoin is the new generation of the decentralized cyber currency that has been created on the Internet and is operating on the Internet only. Emission of the BitCoin currency (BTC) is performed by the work of millions of computers around the world using a program for calculation of mathematical algorithms. Due to this fact, all the payments within the system are open payments but at the same time are completely anonymous for the whole world. So you can be sure that in the case of full payment of the commission, all your files will be decrypted. Please note that BTC currency rate as any other currency rate in the world is not fixed. It tends to increase, therefore we advise you not to delay the BTC currency purchase and payment. How to pay within the BitCoin system?
Don't worry, the payment process in the BitCoin system is not difficult and requires few simple steps.
1. BTC wallet you need to transfer the payment to has been set up specially for you and the amount paid can not be lost! You will be able to check all the information about the payments made. Your BTC wallet: 1EpwuEdnMRaWs75WwKBHuQkiPcyVyb7GdM
2. Around the world there is a wide variety of services (see the full list below) allowing to buy BTC currency with cash, classic bank cards (Visa/Mastercard), PayPal, bank transfers and other payment methods.
3. Below you can find the list of trusted BitCoin purchase services. We would like to draw your attention to the fact that these services are not affiliated with us! Most of them are designed for beginners and have prompt support services. Some of these services will set up a personal BTC wallet for you, while others can make a direct transfer to the wallet that has been set up for you on our system. It should be noted that some of the services mentioned can require you to confirm your identity before the BitCoins purchase.
4. IT IS IMPORTANT TO KNOW WHILE MAKING PAYMENTS WITHIN THE BITCOIN SYSTEM!
If you need to save, copy, etc your BTC wallet number do not try to write it down by hand! If while making a transaction you type the wrong BTC wallet number, the money will be lost. Therefore, if necessary, print out the BTC wallet number you need or use the QR-code scanner on your smartphone.
5. If you are not confident that you are able to do everything correctly the first time, you can split the full amount of payment in several BTC transactions. As was mentioned above, the BTC wallet you need to make payment to has been set up specially for you. That is why at any time you may see the current balance and the reminder to be paid.
6. Keep in mind that some BTC purchase services have a delay in payment processing. The delay may last from 24 to 36 hours. We therefore recommend you not to put aside the decision of payment until the last moment. Failure to pay on time may result in the increase of the commission amount!!!
THE FULL LIST OF SERVICES WHERE YOU MAY BUY BitCoin Currency (BTC)

Captura de pantalla del sitio web de Sage (página de desencriptación de prueba):

sitio web de Sage (desencriptación de prueba)

Texto mostrado en esta página:

Test decryption Upload file to test decryption. You can upload one file up to 15 KB to test decryption

Captura de pantalla del sitio web de Sage (página de instrucciones):

sitio web de Sage (instrucciones)

Texto mostrado en esta página:

InstructionsWhat to do after the payment is made? How to decrypt all your data?
After payment you can download the decryption software from the home page. We guarantee that all your files will be decrypted.
Just follow these simple steps:
1. Login to your personal page
2. Copy the decryption key from field on the home page
3. Click "Download decryption software" button and save Sage_Decryptor.exe to your hard disk
4. Run Sage_Decryptor.exe
5. Paste the decryption key into field in the decryption software window
6. Click "Run decryption" and wait for successfull completion of the decryption process
7. IMPORTANT: Don't turn off or reboot your PC before the process is completed!
8. Congratulations! Now all your files are restored!

Captura de pantalla del sitio web de Sage (página de soporte):

sitio web de Sage (soporte)

Texto mostrado en esta página:

Support requests Ask your questions. If you still have some questions on the work of our service, please use the special form to contact our support service. We will be glad to answer any questions you may have.

Captura de pantalla de archivos cifrados por el virus encriptador Sage (extensión .sage):

Sage decrypt instructions

Eliminar el bloqueador de sistemas Sage:

Menú rápido: Solución rápida para eliminar Virus de .sage

Paso 1

Usuarios de Windows XP y Windows 7: Inicie su equipo en modo seguro. Haga clic en Inicio, Apagar, Reiniciar y aceptar. Mientras el equipo arranca, pulse la tecla F8 en su teclado varias veces hasta que vea el menú de Opciones avanzadas de Windows, luego seleccione modo seguro con funciones de red de la lista.

Modo seguro con funciones de red

Este vídeo muestra cómo iniciar Windows 7 en "Modo seguro con funciones de red":

Usuarios de Windows 8: Inicie Windows 8 en modo seguro con funciones de red: Diríjase a la pantalla de inicio de Windows 8, escriba "avanzadas", en los resultados de búsqueda, seleccione "Cambiar opciones avanzadas de inicio". En la nueva ventana "Configuración de PC", vaya hasta la sección "Inicio avanzado". Haga clic en el botón "Reiniciar ahora". Su PC se reiniciará ahora con el "Menú de opciones de arranque avanzadas". Haga clic en el botón de "Solucionar problemas", luego haga clic en el botón de "Opciones avanzadas". En la pantalla de opciones avanzadas, haga clic en "Configuración de inicio". Haga clic en el botón "Reiniciar". Su PC se reiniciará mostrando primero la pantalla de Configuración de inicio. Pulse F5 para arrancar en Modo seguro con funciones de red.

Modo seguro en Windows 8 con funciones de red

Este vídeo muestra cómo iniciar Windows 8 en "Modo seguro con funciones de red":

Usuarios de Windows 10: Haga clic en el logo de Windows y seleccione el icono de Inicio/Apagado. En el nuevo menú, haga clic en "Reiniciar" mientras mantiene pulsada la tecla "mayúsculas" en su teclado. En la ventana "seleccione una opción", haga clic en "Solucionar problemas" y luego en "Opciones avanzadas". En el menú de opciones avanzadas, seleccione "Configuración de inicio" y haga clic en el botón "Reiniciar". En la siguiente pantalla, tendrá que pulsar la tecla F5 de su teclado. Luego se reiniciará el sistema operativo en modo seguro con funciones de red.

Modo seguro en Windows 10 con funciones de red

Este vídeo muestra cómo iniciar Windows 10 en "Modo seguro con funciones de red":

Paso 2

Inicie sesión con la cuenta que ha sido infectada con el virus Sage. Abra su navegador web y descargue un programa legítimo anti-spyware. Actualice el software antiespía e inicie un análisis de sistema completo. Elimine todas las entradas que se detecten.


DESCARGAR
Programa para eliminar Virus de .sage

Al descargar cualquier programa publicado en este sitio web, está conforme con nuestra Política de privacidad y Condiciones de uso. El servicio de análisis de SpyHunter está pensado para la detección de virus. Para eliminar las infecciones detectadas, tendrá que comprar la versión completa de este producto. Más información sobre SpyHunter. Si desea desinstalar SpyHunter, siga estas instrucciones. Todos los productos que recomendamos han sido cuidadosamente sometidos a pruebas y han sido aprobados por nuestros técnicos como unas de las soluciones más efectivas para eliminar estas amenazas.

Si no puede arrancar su equipo en modo seguro con funciones de red, pruebe ejecutando una restauración del sistema.

Este vídeo muestra cómo eliminar el virus ransomware usando "Modo seguro con funciones de red" y "Restaurar sistema":

1. Durante el proceso de arranque de su ordenador, pulse la tecla F8 en su teclado varias veces hasta que se muestre el menú de Opciones avanzadas de Windows, luego seleccione Modo seguro con símbolo de sistema de la lista y pulse ENTER.

Inicie su sistema en modo seguro con símbolo de sistema

2. Cuando el símbolo del sistema se cargue, introduzca la siguiente línea: cd restore y pulse ENTER.

restauración de sistema usando símbolo del sistema cd restore

3. Luego teclee esta línea: rstrui.exe y pulse ENTER.

restaurar sistema usando símbolo de sistema rstrui.exe

4. En la nueva pantalla, haga clic en "Siguiente".

restaurar archivos del sistema y configuraciones

5. Seleccione uno de los puntos de restauración disponibles y haga clic en "Siguiente" (se restaurará el sistema de su equipo a una fecha anterior antes de que el ransomware Sage se introdujera en su PC).

seleccione un punto de restauración

6. En la ventana abierta, haga clic en "Sí".

ejecutar restauración de sistema

7. Después de restaurar su sistema a un punto anterior, descargue y analice su PC con un software de seguridad antimalware recomendado para eliminar los remanentes del virus Sage.

Para restaurar individualmente cada archivo encriptado por este virus, pruebe con la función versiones anteriores de archivo. Este método es únicamente eficaz si la función de Restaurar sistema estaba activa en el sistema operativo infectado. Tenga en cuenta que algunas variantes de Sage eliminan las instantáneas de volumen de los ficheros, por lo que puede que este método no funcione en algunos equipos.

Para restaurar un archivo, haga clic con el botón derecho del ratón sobre el archivo, seleccione Propiedades y haga clic en la pestaña Versiones anteriores. Si el archivo en cuestión tiene su punto de restauración, selecciónelo y haga clic en el botón "Restaurar".

Restaurando archivos encriptados por CryptoDefense

Si no puede iniciar su sistema en modo seguro con funciones de red (o con símbolo de sistema), inicie su ordenador usando un disco de rescate. Algunos tipos de ransomware desactivan el modo seguro, por lo que la desinfección es más compleja. Para este paso, necesitará tener acceso a otro PC.

Para recuperar el control de los archivos encriptados por Sage, pruebe un programa llamado Shadow Explorer. Aquí podrá leer más información sobre cómo usar este programa.

captura de pantalla de shadow explorer

Para proteger su equipo de virus encriptadores de archivos, analice su sistema con programas antivirus y antiespía fiables. Como medida de protección extra, le recomendamos el programa HitmanPro.Alert y Malwarebytes Anti-Ransomware que introduce de forma artificial directivas de grupo en el registro para bloquear programas maliciosos como Sage.

HitmanPro.Alert CryptoGuard detecta el cifrado de archivos y neutraliza tales intentos sin la necesidad de que el usuario intervenga:

la aplicación hitmanproalert que protege del ransomware

Malwarebytes Anti-Ransomware Beta recurre a tecnología avanzada proactiva que supervisa la actividad de los virus secuestradores de equipos y la interrumpe de inmediato antes de que afecten a los archivos de los usuarios:

malwarebytes anti-ransomware

  • La mejor forma de evitar daños ocasionados por infecciones de tipo ransomware (secuestradores de sistemas) es realizando habitualmente copias de seguridad. Aquí encontrará más información sobre soluciones informáticas para realizar copias de seguridad y para recuperar datos.

Otras herramientas conocidas para eliminar el virus Sage:

Nuestras guías de eliminación de programas maliciosos son gratuitas. No obstante, si quiere ayudarnos, puede enviarnos una donación.