بدافزار sage در اوایل سال ۲۰۱۷ میلادی  فعال بود ولي  در ۶ ماه گذشته، فعالیت قابل توجهی نداشته است ولي بر اساس تحقيقات محققان امنیتی Fortinet در ماه مارس 2017 موارد مشابه Sage یافت شده که قابلیت‌های افزایش امتیازات و فرار از تجزیه و تحلیل را دارا بوده اند. راه هاي نفوذ اين بد افزار شامل رایانامه‌های حاوی هرزنامه، پیوست‌های مخرب جاوا اسکریپت،همانند  باج‌افزار Locky ،  پرونده‌های اسناد با ماکروهای مخرب از طريق نفوذ بوسيله ي دامنه‌های .info و .top را برای تحویل بدافزار به‌کار می‌گیرد.

sage

این بدافزار از الگوریتم رمزنگاری ChaCha۲۰ برای رمزنگاری پرونده‌های قربانی و افزودن پسوند .sage به آن‌ها استفاده می‌کند. باج‌افزار Sage از آلوده کردن رایانه‌هایی که دارای صفحه‌ی کلید بلاروس، قزاق، ازبک، روسی، اوکراین، ساخا و لتونی  هستند، اجتناب می‌کند. این تهدید تمام فرآیندهای فعال بر روی دستگاه را شمارش کرده، برای هرکدام از آن‌ها یک عبارت درهم‌سازی محاسبه می‌کند و سپس درهم‌سازی‌ها را در برابر یک فهرست هارد کدشده از فرآیندهای فهرست سیاه بررسی می‌کند.

sage

نوع جدید باج‌افزار Sage برای تعیین کردن، نام‌های رایانه و کاربر را نیز در صورتی‌که آن‌ها را با فهرست نام‌های مورد استفاده در محیط جعبه‌شنی مطابقت دهد، بررسی می‌کند. همچنین از دستورالعمل CPUID x۸۶ برای دریافت اطلاعات پردازنده و مقایسه‌ی آن فهرستی از شناسه‌های CPU فهرست سیاه، استفاده می‌کند. گفتنی است زبان‌هایی که در حال حاضر  این باج‌افزار از آن‌ها پشتیبانی می‌کند شامل زبان‌های انگلیسی، ایتالیایی، آلمانی، فرانسه، اسپانیایی، پرتغالی، هلندی، چینی، کره‌ای، عربی و فارسی است.

  • 01.png
  • 02.png
  • 03.png
  • 04.png
  • 05.png
  • 06.png
  • 07.png
  • 08.png