飞塔公司(Fortinet)发出警告称，今年年初浮出水面的Sage勒索软件新增反分析功能，以达到提权和逃避分析的目的。

这款恶意软件2017年初高度活跃，但过去六个月并未施展大动作。然而，安全研究人员近期发现的恶意样本与今年3月发现的Sage变种类似，但是，新样本功能更强大，新增反分析功能和提权功能。

Sage勒索软件传播途径

Sage通过带有恶意附件的垃圾电子邮件传播，且与Locky勒索软件共享相同的传播基础设施 。此外，Sage通过启用恶意宏的文档文件进行传播，还利用.info和.top顶级域名(TLD)名称传递恶意软件。

这款恶意软件使用ChaCha20加密算法加密受害者的文件，并附加.sage扩展名。

Sage勒索软件新变种新增反分析功能-E安全

Sage有哪些功能?

Fortinet还发现，Sage的代码显示，更多字符串经过加密处理试图隐藏恶意行为。恶意软件开发人员使用ChaCha20加密算法，并且每个加密的字符串均拥有自己的硬编解密密钥。

这款恶意软件还执行各种检查，以确定是否会被加载到沙盒或虚拟机环境进行分析。

Sage会枚举设备上的所有活动进程，计算每个进程的哈希值，然后对比黑名单进程的硬编列表检查哈希值。此外，Sage还会检查完整的执行路径，当发现诸如sample、malw、sampel、virus、{sample’s MD5}和 {samples’s SHA1}之类的字符串时，便会终止运行。

Sage新变种还会检查计算机和用户名，以此确定是否与沙盒环境中通常使用的名字一致。新变种还使用x86指令CPUID获取处理器信息，并与CPU黑名单ID列表进行对比。

更为重要的是，这款恶意软件会枚举服务控制管理器下运行的服务，检查计算机是否在运行反病毒软件。同时还会对比一组MAC黑名单地址进行检查。

Sage能利用已修复的Windows内核漏洞(CVE-2015-0057)或滥用eventvwr.exe并执行注册表劫持绕过用户帐户控制(UAC)，从而达到提权的目的。

新变种在勒索信中新增六种语言，这说明开发人员今后可能会将目标瞄向更多国家。勒索信息引导受害者使用Tor浏览器访问一个匿名“洋葱”网站，并支付2000美元购买Sage解密软件。