세이지 2.0 랜섬웨어(Sage 2.0 Ransomware) 감염 증상

일단 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)는 지난 2016년12월에 발견된 랜섬웨어(Ransomware)입니다.해당 랜섬웨어(Ransomware)은 기본적으로 CryLocker 랜섬웨어의 변종입니다.일단 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)는 기본적으로 제목이 없는 이메일을 통해서 사용자 컴퓨터를 감염을 시키고 있습니다.

기본적으로 이메일은 랜덤 숫자_recipient.zip 또는 랜덤 숫자·zip이라는 첨부 파일이 있고 해당 첨부 파일 안에는 js 파일이나 워드 형태의 파일이 추가돼 있습니다. 그리고 해당 워드 파일과 js파일에는 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)를 다운로드를 하기 위한 난독화 스크립트로 구성돼 있습니다. 즉 사용자가 해당 스크립트를 실행을 시키는 순간 악성 스크립트가 실행되어서 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)을 다운로드를 합니다.

그리고 나서 해당 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)가 정상적으로 다운로드가 되면 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)은 C:\Users\(사용자 계정)\AppData\Roaming폴더에 랜덤으로 8글자 이름을 자신을 복제합니다. 그리고 UAC(사용자 계정 컨트롤)을 사용을 하고 있다고 하면 UAC가 작동을 하는 것을 확인할 수가 있습니다. 그리고 여기서 해당 UAC를 실행을 했으면 이제 본격적으로 암호화 대상 파일의 형식을 하드디스크에서 검색을 시도합니다. 그리고 암호화를 하고 난 뒤에는. sage 확장 명을 파일에 추가합니다.

.dat .mx0 .cd .pdb .xqx .old .cnt .rtp .qss .qst .fx0 .fx1 .ipg .ert .pic .img.cur .fxr .slk .m4u .mpe .mov .wmv .mpg .vob .mpeg .3g2 .m4v .avi .mp4 .flv.mkv .3gp .asf .m3u .m3u8 .wav .mp3 .m4a .m .rm .flac .mp2 .mpa .aac .wma .djv.pdf .djvu .jpeg .jpg .bmp .png .jp2 .lz .rz .zipx .gz .bz2 .s7z .tar .7z .tgz..rar .zip .arc .paq .bak .set .back .std .vmx .vmdk .vdi .qcow .ini .accd .db..sqli .sdf .mdf .myd .frm .odb .myi .dbf .indb .mdb .ibd .sql .cgn .dcr .fpx..pcx .rif .tga .wpg .wi .wmf .tif .xcf .tiff .xpm .nef .orf .ra .bay .pcd .dng..ptx .r3d .raf .rw2 .rwl .kdc .yuv .sr2 .srf .dip .x3f .mef .raw .log .odg .uop..potx .potm .pptx .rss .pptm .aaf .xla .sxd .pot .eps .as3 .pns .wpd .wps .msg..pps .xlam .xll .ost .sti .sxi .otp .odp .wks .vcf .xltx .xltm .xlsx .xlsm..xlsb .cntk .xlw .xlt .xlm .xlc .dif .sxc .vsd .ots .prn .ods .hwp .dotm .dotx..docm .docx .dot .cal .shw .sldm .txt .csv .mac .met .wk3 .wk4 .uot .rtf .sldx..xls .ppt .stw .sxw .dtd .eml .ott .odt .doc .odm .ppsm .xlr .odc .xlk .ppsx..obi .ppam .text .docb .wb2 .mda .wk1 .sxm .otg .oab .cmd .bat .h .asx .lua .pl..as .hpp .clas .js .fla .py .rb .jsp .cs .c .jar .java .asp .vb .vbs .asm .pas..cpp .xml .php .plb .asc .lay6 .pp4 .pp5 .ppf .pat .sct .ms11 .lay .iff .ldf..tbk .swf .brd .css .dxf .dds .efx .sch .dch .ses .mml .fon .gif .psd .html..ico .ipe .dwg .jng .cdr .aep .aepx .123 .prel .prpr .aet .fim .pfb .ppj .indd..mhtm .cmx .cpt .csl .indl .dsf .ds4 .drw .indt .pdd .per .lcd .pct .prf .pst..inx .plt .idml .pmd .psp .ttf .3dm .ai .3ds .ps .cpx .str .cgm .clk .cdx .xhtm..cdt .fmv .aes .gem .max .svg .mid .iif .nd .2017 .tt20 .qsm .2015 .2014 .2013..aif .qbw .qbb .qbm .ptb .qbi .qbr .2012 .des .v30 .qbo .stc .lgb .qwc .qbp..qba .tlg .qbx .qby .1pa .ach .qpd .gdb .tax .qif .t14 .qdf .ofx .qfx .t13 .ebc..ebq .2016 .tax2 .mye .myox .ets .tt14 .epb .500 .txf .t15 .t11 .gpc .qtx .itf..tt13 .t10 .qsd .iban .ofc .bc9 .mny .13t .qxf .amj .m14 ._vc .tbp .qbk .aci..npc .qbmb .sba .cfp .nv2 .tfx .n43 .let .tt12 .210 .dac .slp .qb20 .saj .zdb..tt15 .ssg .t09 .epa .qch .pd6 .rdy .sic .ta1 .lmr .pr5 .op .sdy .brw .vnd .esv..kd3 .vmb .qph .t08 .qel .m12 .pvc .q43 .etq .u12 .hsr .ati .t00 .mmw .bd2 .ac2..qpb .tt11 .zix .ec8 .nv .lid .qmtf .hif .lld .quic .mbsb .nl2 .qml .wac .cf8..vbpf .m10 .qix .t04 .qpg .quo .ptdb .gto .pr0 .vdf .q01 .fcr .gnc .ldc .t05..t06 .tom .tt10 .qb1 .t01 .rpf .t02 .tax1 .1pe .skg .pls .t03 .xaa .dgc .mnp..qdt .mn8 .ptk .t07 .chg .#vc .qfi .acc .m11 .kb7 .q09 .esk .09i .cpw .sbf .mql..dxi .kmo .md .u11 .oet .ta8 .efs .h12 .mne .ebd .fef .qpi .mn5 .exp .m16 .09t.ab4 .pma .defx .tkr .q06 .tpl .ta2 .qob .m15 .fca .eqb .q00 .mn4 .lhr .t99.mn9 .qem .scd .mwi .mrq .q98 .i2b .mn6 .q08 .kmy .bk2.stm .mn1 .bc8 .pfd .bgt.hts .tax0 .cb .resx .mn7 .08i .mn3 .ch .meta .07i .rcs .dtl .ta9 .mem .seam.btif .11t .efsl .$ac .emp .imp .fxw .sbc .bpw .mlb .10t .fa1 .saf .trm .fa2.pr2 .xeq .sbd .fcpa .ta6 .tdr .acm .lin .dsb .vyp .emd .pr1 .mn2 .bpf .mws.h11 .pr3 .gsb .mlc .nni .cus .ldr .ta4 .inv .omf .reb .qdfx .pg .coa .rec .rda.ffd .ml2 .ddd .ess .qbmd .afm .d07 .vyr .acr .dtau .ml9 .bd3 .pcif .cat .h10.ent .fyc .p08 .jsd .zka .hbk .mone .pr4 .qw5 .cdf .gfi .cht .por .qbz .ens.3pe .pxa .intu .trn .3me .07g .jsda .2011 .fcpr .qwmo .t12 .pfx .p7b .der .nap.p12 .p7c .crt .csr .pem .gpg .key

입니다. 일단 기본적으로 hwp 확장자도 있기 때문에 한국 사용자 분들도 손해를 입을 수가 있습니다. 그리고 나서 Windows Shadow Volume Copie(윈도우 새도우 복사본)를 검색을 하고 해당 Windows Shadow Volume Copie(윈도우 새도우 복사본)를 삭제를 합니다.

즉 지난 시간에 소개해 드린 ShadowExplorer(새도우 익스플러워)를 사용을 해서 복구를 할 수가 없어집니다. 물론 Windows Shadow Volume Copie(윈도우 새도우 복사본)를 따로 백업을 해두었다면 해당 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)제거를 하고 나서 복구를 시도할 수가 있을 것입니다.

그리고 나서 CryLocker 랜섬웨어처럼 주변 와이파이를 통해서 Google 지도 API 및 SSID를 사용을 해서 해당 감염이 된 위치를 파악하게 되고 그리고 몸값을 사용자에게 받으려고 사용자에게 메시지를 표시해줍니다.

Need help with translation?? Use https://translate.google.com
ATTENTION! ALL YOUR FILES WERE ENCRYPTED!
PLEASE READ THIS MESSAGE CAREFULLY
All your important and critical files as well as databases, images and videos and so on were encrypted by software known as SAGE!
 SAGE 2.0 uses military grade elliptic curve cryptography and you have no chances restoring your files without our help!
 But if you follow our instructions we guarantee that you can restore all your files quickly and safely!
 —
To get the instructions open any of this temporary links m your browser:
***7gie6ffnkrjykggd.er29sl.in/login/AUpcq***
***7gie6ffnkrjykggd.rzunt3u2.com/login/AUpcq***
This links are temporary and will stop working after some time, so if you can’t open these links, you can use TOR Browser
The TOR Browser is available on the official website https://www.torproiect.org/
 Just open this site, click on the “Download Tor” button and follow the installation instructions, then use it to open the following link:
***7gie6ffnkrjykggd.onion/login/AUpcq***
Please be sure to copy this instruction text and links to your notepad to avoid losing it.
dO5P5u6J77SV-3m-DNiR0fS28bSmYXvoMstN_hfU_vPaLVKNg2xr

그리고 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)는 Tor 지불 사이트로 연결됩니다. 해당 Tor 지불 사이트에 연결되며 감염이 된 파일에 대한 암호화 된 일과 복원화키를 사는 방법에 대해서 상세하게 알려주는 사이트를 볼 수가 있습니다. 비트 코인 값은 변경되며 몸값은 7일 안에 입금이 되지 않는 경우 두 배로 된다는 메시지를 볼 수가 있습니다.

그리고 비트코인을 어떻게 지급하는지 모르는 사용자들을 위해서 상세하게 비트코인을 구매를 하고 몸값을 지급하는 방법에 대해 간단하게 설명을 해줍니다. 물론 고객지원센터도 지원하고 있습니다.

그리고 Sage2Decrypter.exe를 다운로드 하고 피해자에게 파일을 해독하고 몸값을 지급하는 페이지도 제공하고 있습니다. 그리고 해당 세이지 2.0 랜섬웨어(Sage 2.0 Ransomware)는 현재 복원 화를 할 수가 없습니다.

이런 랜섬웨어 피해를 줄이려고 반드시 윈도우 업데이트,Adobe Flash Player, 자신이 사용하는 프로그램은 항상 최신 업데이트로 유지하면 백신프로그램 실시간 감시 최신 업데이트를 유지를 하면 그리고 의심스러운 사이트와 어둠의 경로는 함부로 접속을 하는 거와 어둠의 프로그램 등을 함부로 실행하지 마시길 바랍니다. 그리고 귀찮더라도 UAC는 귀찮더라도 꺼지 마시길 바랍니다.

<기타 관련 글>

[보안(Security)] - ShadowExplorer(새도우 익스플러워)를 사용하여 랜섬웨어 복구 방법

[보안(Security)] - Ransomeware(랜섬웨어),Fake AV(가짜백신프로그럠) 대응 및 제거 방법