Sheeva Ransomware
باجافزار Sheeva رایانههایی را که مدیریت میکند به رمزگذاری دادهها ارسال میکند. در نتیجه، کاربران آسیب دیده توانایی خود را برای دسترسی به بسیاری از انواع فایل های موجود در دستگاه های نقض شده از دست خواهند داد. علاوه بر این، نام اصلی هر فایل قفل شده به شدت تغییر می کند. تهدید یک رشته ID به قربانی خاص اختصاص می دهد و آن را به نام فایل های رمزگذاری شده اضافه می کند. سپس، باجافزار Sheeva یک آدرس ایمیل که توسط اپراتورهایش کنترل میشود اضافه میکند - "Sheeva@onionmail.org". در نهایت، هر فایل دارای ".sheeva" به عنوان پسوند فایل جدید است. قربانیان تهدید همچنین متوجه وجود یک فایل متنی جدید در دسکتاپ خواهند شد. این فایل با نام «sheeva.txt» حاوی یک یادداشت باج است که جزئیات خواستههای مهاجمان را توضیح میدهد.
بر اساس این پیام، کاربران آسیب دیده که مایل به دریافت کلید رمزگشایی و ابزار نرم افزاری لازم از مجرمان سایبری هستند، باید باج بپردازند. اگرچه مبلغ دقیقی مشخص نشده است، اما یادداشت تصریح می کند که فقط پرداخت های انجام شده به بیت کوین پذیرفته می شود. هکرها همچنین تمایل خود را برای باز کردن رایگان دو فایل با حجم کمتر از 5 مگابایت اعلام کردند. یادداشت باج با اخطارهای متعدد به پایان می رسد، که مهمترین آنها مربوط به یک پوشه مخفی واقع در C:/Sheeva است. حذف پوشه باعث می شود همه فایل های رمزگذاری شده غیرقابل بازیابی شوند، زیرا حتی هکرها دیگر نمی توانند قفل آنها را باز کنند.
متن کامل یادداشت به شرح زیر است:
'::: با درود :::
دادههای مهم شما، از جمله مالی/توسعه، حسابداری، استراتژیها، و سایر اسناد و پایگاههای اطلاعاتی حیاتی، دانلود شدهاند و در صورت عدم پرداخت بهزودی فاش خواهند شد.
============================
سوالات متداول کوچک:
.1.
س: چه اتفاقی افتاده است؟
پاسخ: فایلهای شما رمزگذاری شدهاند و اکنون پسوند شیوا دارند. ساختار فایل به فرمت غیرقابل خواندن تغییر یافته است، اما می توانید همه آنها را با ابزار ما بازیابی کنید..2.
س: چگونه فایل ها را بازیابی کنیم؟
پاسخ: اگر می خواهید فایل های خود را رمزگشایی کنید، باید به بیت کوین پرداخت کنید..3.
س: در مورد تضمین ها چطور؟
پاسخ: این فقط یک تجارت است. ما مطلقاً به شما و معاملات شما اهمیتی نمی دهیم، به جز دریافت مزایا. اگر ما به کار و مسئولیت خود عمل نکنیم، هیچکس با ما همکاری نخواهد کرد. به نفع ما نیست
برای بررسی قابلیت بازگرداندن فایلها، میتوانید دو فایل (زیر 5 مگابایت) از هر نوعی که حاوی اطلاعات حیاتی نباشد برای ما ارسال کنید. ما آنها را رمزگشایی می کنیم و برای شما باز می فرستیم. تضمین ما همین است..4.
س: چگونه با ما تماس بگیرید؟
پاسخ: می توانید به صندوق پستی ما بنویسید: Sheeva@onionmail.org و Sheeva@cyberfear.com
این را در عنوان ایمیل بنویسید: ID:-.5.
س: فرآیند رمزگشایی پس از پرداخت چگونه پیش خواهد رفت؟
پاسخ: پس از پرداخت، ما برنامه رمزگشا و کلیدهای منحصر به فرد شناسه شما + دستورالعمل دقیق استفاده را برای شما ارسال می کنیم. با این برنامه قادر خواهید بود تمامی فایل های رمزگذاری شده خود را رمزگشایی کنید..6.
س: اگر نخواهم به افراد بدی مثل شما پول بدهم؟
A: اگر شما با خدمات ما همکاری نمی کنید، برای ما مهم نیست. اما شما زمان و اطلاعات خود را از دست خواهید داد زیرا ما تنها کسانی هستیم که کلید خصوصی را در اختیار داریم. در عمل - زمان بسیار ارزشمندتر از پول است.:::برحذر بودن:::
1.1 سعی نکنید فایل های رمزگذاری شده را خودتان تغییر دهید!
اگر از نرم افزار شخص ثالثی برای بازیابی اطلاعات یا راه حل های آنتی ویروس خود استفاده می کنید، لطفاً از همه فایل های رمزگذاری شده یک نسخه پشتیبان تهیه کنید!
هر گونه تغییر در فایل های رمزگذاری شده ممکن است منجر به آسیب به کلید خصوصی و در نتیجه از دست رفتن تمام داده ها شود.
.2. هر شرکت/شخصی که ادعا میکند اطلاعات شما را بدون پرداخت پول به ما رمزگشایی میکند، به سادگی دروغ میگویند و برای آن پول زیادی از شما دریافت میکنند. همه آنها با ما تماس می گیرند و رمزگشا را از ما می خرند.
.3. پیام توسعه دهندگان: برای جلوگیری از هرگونه مشکل احتمالی با این نماینده ایمیل، همیشه در مورد فایل های آزمایشی، هرگز به کسی خارج از این دو ایمیل پرداخت نکنید، فقط به آدرس کیف پولی که همراه با فایل آزمایشی برای شما ارسال می کنیم، پرداخت کنید، این تضمین می کند که تمام موارد خود را بازیابی کنید. فایل های بدون خطر
.4.برخی فایل ها رمزگذاری شدند اما تغییر نام ندادند. این فایل ها پس از تکمیل مراحل رمزگشایی بازیابی می شوند./IMPORTANT/ .5. پوشه C:/Sheeva را حذف نکنید (این یک پوشه مخفی است) در غیر این صورت رمزگشایی غیرممکن خواهد بود /مهم/'