Die zweite Version der Sage Ransomware ist eine verbesserte Variante von dem Erpressungsprogramm Sage. Die Autoren des Erpressungsprogramms haben sich dazu entschieden an ihren Fertigkeiten zu arbeiten und eine noch kompliziertere Variante zu entwickeln, welche sich von anderen Dateiverschlüsselungen unterscheidet und sie natürlich übertrifft. Die zweite Version des Virus kann nicht mit den gängigen Decryptoren entschlüsselt werden, denn die Schwachstellen wurden behoben. Die Bedrohung wurde außerdem mit einem anderen Schwerpunkt gesichert, sodass die Arbeit von Schadsoftwareforschern erschwert wird und sie diesen Trojaner nicht bekämpfen können.
Die zweite Version wird weniger über Word-Makros-Dokumente verteilt. Ab jetzt wird Akzent auf Spam-Mails gemacht. Man muss sich nicht wundern. Das gleiche fand bei Cerber und Locky Ransomware, als die beiden Viren noch nicht so weit entwickelt waren und noch nicht ihren Höchststand erreicht haben. Spam-Mails sind heutzutage sehr verbreitet. Wenn man über Sage Virus spricht, am häufigsten sind das die gefälschten Bank Mitteilungen. Die fake Anhänge beinhalten Javaskript oder Microsoft Word Dokumente. Hier werden Makros verwendet um Powershell skript auszuführen, welcher hilft die Ransomware %TMP%\Roaming.exe. herunterzuladen. Die zweite Version verschlüsselt genau wie bei der vorherigen Version die Dateien, fügt die Endung .sage an die Dateien an. Ein weiterer wichtiger Fakt ist, dass sie für die Erstellung des Verschlüsselungsschlüssels die ChaCha20 Chiffre nutzt.
Die neue Version der Sage 2.2 Ransomware erstellt die Dateie ! Recovery_ .html auf dem Desktop und in allen anderen Ordnern mit verschlüsselten Dateien, Archiven, Bildern und Ähnlichem. Nach der Verschlüsselung bekommen Sie eine Desktopmeldung: Alle wichtige Dateien, Videos und Dokumente sind ab jetzt verschlüsselt. Danach wird die Bezahlung von $2000 innerhalb 7 Tage an das Bitcoin-Konto der Verbrecher gefordert.
Sollen Sie wirklich einmal Opfer der Sage Ransomware werden, scheint es fraglich, ob die Cyber-Verbrecher den persönlichen Krypto-Schlüssel überhaupt freigeben. Es gibt ja auch keine Garantie dafür, dass die Erpresser auch tatsächlich ihr Wort halten. Es wird empfohlen für den Schlüssel nicht zu bezahlen, denn es gibt keine Garantie, dass dieser wirklich funktioniert.