Sheeva Ransomware

باج‌افزار Sheeva رایانه‌هایی را که مدیریت می‌کند به رمزگذاری داده‌ها ارسال می‌کند. در نتیجه، کاربران آسیب دیده توانایی خود را برای دسترسی به بسیاری از انواع فایل های موجود در دستگاه های نقض شده از دست خواهند داد. علاوه بر این، نام اصلی هر فایل قفل شده به شدت تغییر می کند. تهدید یک رشته ID به قربانی خاص اختصاص می دهد و آن را به نام فایل های رمزگذاری شده اضافه می کند. سپس، باج‌افزار Sheeva یک آدرس ایمیل که توسط اپراتورهایش کنترل می‌شود اضافه می‌کند - "Sheeva@onionmail.org". در نهایت، هر فایل دارای ".sheeva" به عنوان پسوند فایل جدید است. قربانیان تهدید همچنین متوجه وجود یک فایل متنی جدید در دسکتاپ خواهند شد. این فایل با نام «sheeva.txt» حاوی یک یادداشت باج است که جزئیات خواسته‌های مهاجمان را توضیح می‌دهد.

بر اساس این پیام، کاربران آسیب دیده که مایل به دریافت کلید رمزگشایی و ابزار نرم افزاری لازم از مجرمان سایبری هستند، باید باج بپردازند. اگرچه مبلغ دقیقی مشخص نشده است، اما یادداشت تصریح می کند که فقط پرداخت های انجام شده به بیت کوین پذیرفته می شود. هکرها همچنین تمایل خود را برای باز کردن رایگان دو فایل با حجم کمتر از 5 مگابایت اعلام کردند. یادداشت باج با اخطارهای متعدد به پایان می رسد، که مهمترین آنها مربوط به یک پوشه مخفی واقع در C:/Sheeva است. حذف پوشه باعث می شود همه فایل های رمزگذاری شده غیرقابل بازیابی شوند، زیرا حتی هکرها دیگر نمی توانند قفل آنها را باز کنند.

متن کامل یادداشت به شرح زیر است:

'::: با درود :::

داده‌های مهم شما، از جمله مالی/توسعه، حسابداری، استراتژی‌ها، و سایر اسناد و پایگاه‌های اطلاعاتی حیاتی، دانلود شده‌اند و در صورت عدم پرداخت به‌زودی فاش خواهند شد.

============================

سوالات متداول کوچک:
.1.
س: چه اتفاقی افتاده است؟
پاسخ: فایل‌های شما رمزگذاری شده‌اند و اکنون پسوند شیوا دارند. ساختار فایل به فرمت غیرقابل خواندن تغییر یافته است، اما می توانید همه آنها را با ابزار ما بازیابی کنید.

.2.
س: چگونه فایل ها را بازیابی کنیم؟
پاسخ: اگر می خواهید فایل های خود را رمزگشایی کنید، باید به بیت کوین پرداخت کنید.

.3.
س: در مورد تضمین ها چطور؟
پاسخ: این فقط یک تجارت است. ما مطلقاً به شما و معاملات شما اهمیتی نمی دهیم، به جز دریافت مزایا. اگر ما به کار و مسئولیت خود عمل نکنیم، هیچکس با ما همکاری نخواهد کرد. به نفع ما نیست
برای بررسی قابلیت بازگرداندن فایل‌ها، می‌توانید دو فایل (زیر 5 مگابایت) از هر نوعی که حاوی اطلاعات حیاتی نباشد برای ما ارسال کنید. ما آنها را رمزگشایی می کنیم و برای شما باز می فرستیم. تضمین ما همین است.

.4.
س: چگونه با ما تماس بگیرید؟
پاسخ: می توانید به صندوق پستی ما بنویسید: Sheeva@onionmail.org و Sheeva@cyberfear.com
این را در عنوان ایمیل بنویسید: ID:-

.5.
س: فرآیند رمزگشایی پس از پرداخت چگونه پیش خواهد رفت؟
پاسخ: پس از پرداخت، ما برنامه رمزگشا و کلیدهای منحصر به فرد شناسه شما + دستورالعمل دقیق استفاده را برای شما ارسال می کنیم. با این برنامه قادر خواهید بود تمامی فایل های رمزگذاری شده خود را رمزگشایی کنید.

.6.
س: اگر نخواهم به افراد بدی مثل شما پول بدهم؟
A: اگر شما با خدمات ما همکاری نمی کنید، برای ما مهم نیست. اما شما زمان و اطلاعات خود را از دست خواهید داد زیرا ما تنها کسانی هستیم که کلید خصوصی را در اختیار داریم. در عمل - زمان بسیار ارزشمندتر از پول است.

:::برحذر بودن:::
1.1 سعی نکنید فایل های رمزگذاری شده را خودتان تغییر دهید!
اگر از نرم افزار شخص ثالثی برای بازیابی اطلاعات یا راه حل های آنتی ویروس خود استفاده می کنید، لطفاً از همه فایل های رمزگذاری شده یک نسخه پشتیبان تهیه کنید!
هر گونه تغییر در فایل های رمزگذاری شده ممکن است منجر به آسیب به کلید خصوصی و در نتیجه از دست رفتن تمام داده ها شود.
.2. هر شرکت/شخصی که ادعا می‌کند اطلاعات شما را بدون پرداخت پول به ما رمزگشایی می‌کند، به سادگی دروغ می‌گویند و برای آن پول زیادی از شما دریافت می‌کنند. همه آنها با ما تماس می گیرند و رمزگشا را از ما می خرند.
.3. پیام توسعه دهندگان: برای جلوگیری از هرگونه مشکل احتمالی با این نماینده ایمیل، همیشه در مورد فایل های آزمایشی، هرگز به کسی خارج از این دو ایمیل پرداخت نکنید، فقط به آدرس کیف پولی که همراه با فایل آزمایشی برای شما ارسال می کنیم، پرداخت کنید، این تضمین می کند که تمام موارد خود را بازیابی کنید. فایل های بدون خطر
.4.برخی فایل ها رمزگذاری شدند اما تغییر نام ندادند. این فایل ها پس از تکمیل مراحل رمزگشایی بازیابی می شوند.

/IMPORTANT/ .5. پوشه C:/Sheeva را حذف نکنید (این یک پوشه مخفی است) در غیر این صورت رمزگشایی غیرممکن خواهد بود /مهم/'