در دسامبر ۲۰۱۷، باج افزاری شناسایی شد که فایل‌های قربانی را با پسوند .Sage رمز می‌نمود. یک ماه بعد نسخه‌ی جدید از این باج افزار با نام Sage 2.0 عرضه شد. در اکتبر ۲۰۱۷ نیز نسخه‌ی ۲٫۲ باج افزار Sage مشاهده شد.

باج افزار Sage برای نفوذ از هرزنامه استفاده کرد. در نسخه‌های اولیه هرزنامه‌ها بدون عنوان بودند. اما بعد طراحان باج افزار Sage 2.0 از مهندسی اجتماعی قوی‌تری استفاده کردند. هرزنامه‌ای که برای انتشار Sage 2.0 استفاده می‌شود، طوری طراحی شده تا قربانی گمان نماید فرستنده‌ی آن بانک است.

این هرزنامه حاوی یک فایل Zip است. در برخی موارد این فایل Zip حاوی یک JavaScript آلوده است. در بعضی دیگر از موارد حاوی یک فایل Word که یک ماکرو مخرب به آن تزریق شده است، می‌باشد.  در زمینه‌ی تشویق کاربر و کسب اجازه از او برای اجرای ماکرو، Sage مانند باج افزارهایی مثل Jaff استفاده می‌کند.

Sage 2.0 مانند باج افزار Jaff یا Cerber برای اجرای اسکریپت Powershell مورد نظرشان از یک ماکرو آلوده استفاده می‌کنند. بعد از اجرای این اسکریپت در حقیقت باج افزار sage 2.0 دانلود می‌شود و در %TMP% ساخته می‌شود. نام این فایل ساخته شده Roaming.exe است و یا در برخی موارد برای پنهان ماندن از یک نام تصادفی برای این فایل استفاده می‌شود. باج افزار Sage در مسیر %appdata% نسخه‌ای دیگر از خود را ایجاد می‌نماید . برای فایل ایجاد شده یک نام تصادفی انتخاب می‌نماید.

در مرحله‌ی بعد، پنجره‌ی account control به نمایش درمی‌آید که تقاضای دسترسی ادمین برای ادامه‌ی کار را دارد. متاسفانه بسیاری از کاربران غیر حرفه‌ای با این تقاضا موافقت کرده و به باج افزارSage 2.0 اجازه‌ی ادامه‌ی کار می‎دهند.

در Registery کلیدهای زیر به وجود می‌آیند.

HKLM\SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Schedule\TaskCache\Tasks\{41D55966-1192-454F-9C86-D0EB950D9984} HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Fd3KZfCq

باج افزار Sage 2.0 بعد از رمزنگاری فایل‌ها، یک فایل HTML با نام (“Recovery_[3_random_characters].html“) می‌سازد. این فایل HTML حاوی درخواست باج می‌باشد. ارز دیجیتالی درخواستی از طریق وب سایت Sage 2 که لینک آن در متن باج خواهی وجود دارد قابل پرداخت است. این فایل یا در پ.شه‌ی فایل‌های رمز نگاری شده و یا بر روی میز کاری دستگاه قربانی قرار داده می‌شود.

از یک ضد ویروس معتبر استفاده نمایید

• اگر از کسپرسکی استفاده می‌نمایید پیشنهاد میکنیم تا کارهای زیر را انجام دهید:
  • System Watcher کسپرسکی را فعال نمایید.

    زیرا در صورت فعال بودن، System Watcher از ایجاد هرگونه تغییر ناخواسته‌ای جلوگیری می‌کند. در نتیجه System Watcher از رمز شدن فایل‌های سیستم هم جلوگیری می‌کند، حتی در زمان‌هایی که بدافزاری که اقدام به رمز نمودن فایل‌ها نموده است در پایگاه داده کسپرسکی وجود نداشته باشد.

• کاربران خود را آموزش دهید. بسیاری از طراحان باج افزار از هرزنامه‌ها به عنوان نقطه‌ی ورودی استفاده نموده و از ناآگاهی کاربران سو‌استفاده می‌نمایند.
• در تنظیمات Office اجرای ماکرو را غیر فعال نمایید.