E-Mail ohne Betreff bringt Sage Ransomware (Verschlüsselungs- und Erpressungstrojaner)!
Am Freitag, den 13. Oktober 2017 wurde durch unbekannte Dritte die folgende E-Mail versendet. Achtung: Öffnen Sie nicht das ZIP-Archiv oder die darin enthaltene Word-Datei! Führen Sie nicht das Makro aus! Es würde die Sage Ransomware nachladen, die viele Dateien in *.sage umbenennt!
Betreff: (keiner)
Absender: [email protected]
Diese Nachricht hat eine hohe Prioritätsstufe.
Achtung: Es handelt sich um eine gefälschte/betrügerische E-Mail! Öffnen Sie daher nicht das ZIP-Archiv!
Die E-Mail bringt ein ZIP-Archiv mit (z. B. 13228713.zip), welches ein weiteres ZIP-Archiv (z. B. 2533.zip) enthält. Darin befindet sich eine Word-Datei (2533.zip).
13228713.zip
2533.zip
2533.doc
Eine solche E-Mail hat noch vor wenigen Tagen die Locky Ransomware nachgeladen und alle Dateien in *.asasin umbenannt (10.10.2017). Frühere Versionen solcher E-Mails haben statt einem Word-Datei auch ein JavaScript mitgebracht. Am 12.07. wurde über solche E-Mails z. B. die Aleta Ransomware nachgeladen (*.aleta), aber auch die Cerber Ransomware wurde mit solchen E-Mails bereits verbreitet. Diesmal wird aber die Sage Ransomware nachgeladen, die alle Dateien in *.sage umbenennt.
Die Word-Datei würde so aussehen:
Office
This document is protected1 Open the document in Microsoft Office. Previewing online is not available for protected documents
2 If this document was downloaded from your email, please click „Enable Editing“ from the yellow bar above
3 Once you have enabled editing, please click „Enable Content“ from the yellow bar above
Ein solches Word-Dokument hat in den letzten Wochen sehr massiv das Trojanische Pferd „Emotet“ nachgeladen. Diesmal enthält das Word-Dokument aber eigentlich zwei Makros:
Beide Makros sehen nicht nach einem gewünschten Word-Dokument aus. Führen Sie das Makro daher nicht aus!
Von der Adresse sutranjdf.info/admin.php?a=2 würde eine ausführbare Datei nachgeladen, bei der es sich um die Sage Ransomware handelt. Laut Virustotal liegt die Erkennungsrate gerade mal bei 14/65 (Mal_SageCrypt-1h)!
Die exe-Datei hat unterschiedliche Icons.
65218.exe
1171.exe
Es dauert u. U. sehr lange, bis man die Auswirkung der Ransomware sieht. Das Programm beginnt noch nicht sofort mit der Verschlüsselung.
Bei der Verschlüsselung werden viele Dateien in *.sage umbenannt. Außerdem wird in den Verzeichnissen eine .hta-Datei „!HELP_SOS.hta“ angelegt:
!HELP_SOS.hta
!HELP_SOS.hta
Microsoft Access Datenbank (neu).accdb.sage
Microsoft Excel-Arbeitsblatt (neu).xlsx.sage
Microsoft Publisher-Dokument (neu).pub.sage
Microsoft PowerPoint-Präsentation (neu).pptx.sage
Außerdem wird eine Bild-Datei angelegt und als Desktop-Hintergrund gesetzt:
fzs.bmp
*** ATTENTION! ALL YOUR FILES WERE ENCRYPTED! ***
*** PLEASE READ THIS MESSAGE CAREFULLY ***All your important and critical files, databases, images and videos were encrypted by „SAGE Ransomware“!
It uses military grade elliptic curve cryptography,
so you have no chances restoring your files without our help!
Buut if you follow our instructions we guarantee that you can restore all your files quickly and safely!We created files with instructions named !HELP_SOS in every folder with encrypted files.
*** Please be sure to copy instruction text and links to your notepad to avoid losing it
***********************
In case you can’t find instructions, try opening any of these links:
http:// **** .hp8ewo.net/
http:// **** .0ny42p.com/===== Your personal key =====
******
==========
If can’t open any of those, you can use „TOR Browser“
TOR Browser is available on the official website: https://www.torproject.org/
Just open this site, click on the „Download Tor“ button and follow the installation instructions
Once „TOR Browser“ in istalled, use it to access http:// ***** /.onion/
Die !HELP_SOS.hta würde so aussehen und die Anleitung zur Dateiwiederherstellung in verschiedenen Sprachen enthalten:
English Deutsch Italiano Français Español Norsk Português Nederlands
한국어 Bahasa Melayu 中文 Türkçe Tiếng Việt हिन्दी Basa Jawa فارسی العربيةAnleitung zur Dateiwiederherstellung
Sie haben sicherlich gemerkt, dass Sie Ihre Daten nicht öffnen können und dass Programme nicht mehr ordnungsgemäß funktionieren.
Dies ist zu erwarten. Die Dateiinhalte existieren noch, aber wurden mit {us_enc}} verschlüsselt.
Ihre Daten sind nicht verloren. Es ist möglich, sie mit Hilfe von Entschlüsselung in ihren Originalzustand zurückzuversetzen.
Die einzige Möglichkeit das zu tun, ist die Verwendung von „SAGE Decrypter“ Software und Ihr persönlicher Entschlüsselungskey.
Das Verwenden von anderer Software, die angeblich ihre Daten wiederherstellen kann, wird dazu führen, dass Ihre Daten beschädigt oder zerstört werden.
Sie können die „SAGE Decrypter“ Software und Ihren Entschlüsselungskey auf Ihrer persönlichen Seite erwerben, indem Sie diesen Links folgen:
http:// z5dq36kjy5swjtmr.hp8ewo.net /
http:// z5dq36kjy5swjtmr.0ny42p.com /If none of these links work for you, click here to update the list.
Falls Sie nach ihrem persönlichen Key gefragt werden, kopieren Sie ihn in das Formular auf dieser Seite. Dies ist Ihr persönlicher Key:
AYTgd4fXQjQ******************emDQsen_mqV17A
Sie können eine Datei gratis entschlüssen, um sicher zu sein, dass die „SAGE Decrypter“ Software ihre Daten wiederherstellen kann
Falls keine dieser Links über einen längeren Zeitraum funktionieren sollten oder Sie Ihre Daten so schnell wie möglich wiederherstellen müssen, können Sie Ihre persönliche Seite mit Hilfe des „Tor Browser“ aufrufen.
Dazu benötigen Sie:
Öffnen Sie den Internet Explorer oder einen anderen Internetbrowser;
Kopieren Sie diese Adresse https://www.torproject.org/download/download-easy.html.en in die Adressleiste und drücken Sie „Enter“;
So bald sich die Seite öffnet, wird Ihnen der Download des Tor Browser angeboten. Laden Sie ihn herunter und führen Sie die Installation aus, indem Sie den Installationsanweisungen folgen;
Wenn die Installation abgeschlossen ist, öffnen Sie den soeben installierten Tor Browser und drücken Sie den „Connect“ Knopf (Der Namen kann abweichen, falls Sie eine nicht-englische Version installiert haben);
Tor Browser wird eine Verbindung herstellen und ein normales Browserfenster öffnen;
Kopieren Sie die Adresse
http:// z5dq36kjy5swjtmr.onion /login/AYTgd4fXQjQD***************emDQsen_mqV17A
in die Browseradressleiste und drücken Sie „Enter“;
Ihre persönliche Seite sollte sich nun geöffnet haben; falls nicht: Warten Sie eine Weile und versuchen Sie es erneut.
Falls Sie nicht in der Lage sind, diese Schritte durchzuführen, überprüfen Sie Ihre Internetverbindung. Wenn es noch immer nicht funktioniert, fragen Sie jemanden, der sich mit Computern auskennt, um diese Schritte durchzuführen oder schauen Sie sich einige Videoanleitungen auf YouTube an.Sie finden eine Kopie dieser Anleitung in einer Datei namens „!HELP_SOS“ neben Ihren verschlüsselten Daten.
Die verlinkte Internetseite würde zunächst zur Eingabe eines Captcha auffordern:
User Login
Bitte bestätigen Sie, dass Sie kein Roboter sind.
Zahlen auf dem Bild eingeben
Bestätigen
Danach soll man seine Sprache auswählen:
User Login
Bitte wählen Sie ihre Sprache aus.
English
Deutsch
Français
Español
Italiano
Português
Nederlands
العربية
فارسی
中文 (Zhōngwén)
한국어 (韓國語)
Türkçe
Norsk Bokmål
Bahasa Melayu
Basa Jawa
Tiếng Việt
हिन्दीAuswählen
Anschließend sieht man eine Forderung über 1.000 US-Dollar:
Sage 2.0 User Area
Verbleibende Sonderpreis-Zeit: 6d 23h 58m 35s
Wichtige Information! Bitte lesen Sie sehr sorgfältig!
Übersicht
Achtung!
Sage 2.0 hat alle Ihre Dateien verschlüsselt!
Alle Ihre Dateien, Bilder, Videos und Datenbanken wurden verschlüsselt und von einer Software namens Sage 2.0 nicht länger zugänglich gemacht!Um alle Ihre Dateien wiederherzustellen, müssen Sie einen Betrag von $1000 (≈0.17853) für die Entschlüsselung bezahlen.
Nach der vollständigen Bezahlung werden Sie die Software, die Ihre Daten wiederherstellen kann, herunterladen können.0.17853
Gesamtbetrag
Mehr Informationen0.17853
Muss noch gezahlt werden
Mehr Informationen1000
Gesamtbetrag
Mehr Informationen1000
Muss noch gezahlt werden
Mehr Informationen6d 23h 58m 35s
Verbleibende Sonderpreis-Zeit
More infoIm Falle der Nicht-Bezahlung des vollständigen Betrags innerhalb von 6d 23h,
wird der zu zahlende Betrag auf $2000 (≈0.35705) erhöht.Sie haben keine Möglichkeit, die Daten ohne unsere Hilfe wiederherzustellen!
Die Daten können einfach wiederhergestellt werden, wenn sie unseren Anweisungen folgen!
Im Falle der wiederholten Nichtzahlung des erhöhten Betrags während der 6d 23h Periode,
wird der einzigartige Entschlüsselungscode für Ihre Dateien blockiert
und seine Wiederherstellung wird absolut unmöglich sein!