Sheeva Ransomware

De Sheeva-ransomware is een nieuwe vorm van bestandsversleutelende malware. De ransomware lijkt niet tot een grote ransomware-familie te behoren.

Sheeva zou bestanden op het slachtoffersysteem versleutelen, waardoor de meeste niet-essentiële bestanden worden aangetast, inclusief media-, document-, archief- en database-extensies. Eenmaal versleuteld, krijgen de bestanden een nieuwe extensie en wordt hun naam behoorlijk veranderd, met meerdelige complexe strings. De nieuwe bestandsnaam bestaat uit verschillende strings - de id van het slachtoffer, het e-mailadres van de ransomware-auteurs, de oorspronkelijke naam en extensie en tenslotte de string ".sheeva".

Dit betekent dat een bestand dat voorheen "document.docx" heette, zal veranderen in "id[alfanumerieke string].[Sheeva@onionmail.org].document.docx.sheeva.

Het losgeldbriefje wordt in een bestand met de naam "sheeva.txt" geplaatst, dat op het bureaublad wordt geplaatst.

De volledige tekst van de losgeldbrief is als volgt:

::: Hartelijk groeten :::

Uw belangrijke gegevens, waaronder financiële/ontwikkelingsgegevens, boekhouding, strategieën en andere essentiële documenten en databases, zijn gedownload en zullen binnenkort worden gelekt als ze niet worden betaald.

===========================

Kleine veelgestelde vragen:

.1.

V: Wat is er gebeurd?

A: Uw bestanden zijn versleuteld en hebben nu de extensie "Sheeva". De bestandsstructuur is gewijzigd in een onleesbaar formaat, maar u kunt ze allemaal herstellen met onze tool.

.2.

V: Hoe bestanden te herstellen?

A: Als u uw bestanden wilt decoderen, moet u in bitcoins betalen.

.3.

Vraag: Hoe zit het met garanties?

A: Het is maar een bedrijf. Wij geven absoluut niets om u en uw deals, behalve om voordelen. Niemand zal met ons samenwerken als we ons werk en onze verplichtingen niet doen. Het is niet in ons belang.

Om de mogelijkheid om bestanden te retourneren te controleren, kunt u ons twee bestanden (minder dan 5 MB) van welke aard dan ook sturen die geen kritieke informatie bevatten. We zullen ze decoderen en naar u terugsturen. Dat is onze garantie.

.4.

Vraag: Hoe kunt u contact met ons opnemen?

A: U kunt ons naar onze mailbox schrijven: Sheeva op onionmail dot org en Sheeva op cyberfear dot com

schrijf dit in de e-mailtitel: ID:-

.5.

V: Hoe verloopt het decoderingsproces na betaling?

A: Na betaling sturen we je ons decoderprogramma en de unieke sleutels van je ID + gedetailleerde gebruiksaanwijzing. Met dit programma kun je al je versleutelde bestanden ontsleutelen.

.6.

Vraag: Als ik slechte mensen zoals jij niet wil betalen?

A: Als u niet meewerkt aan onze service, maakt dat voor ons niet uit. Maar u verliest uw tijd en gegevens omdat wij de enigen zijn die de privésleutel hebben. In de praktijk is tijd veel waardevoller dan geld.

:::PAS OP:::

1.1 Probeer NIET zelf versleutelde bestanden te wijzigen!

Als u software van derden gebruikt om uw gegevens of antivirusoplossingen te herstellen, maak dan een back-up van alle versleutelde bestanden!

Wijzigingen in versleutelde bestanden kunnen leiden tot schade aan de privésleutel en als gevolg daarvan het verlies van alle gegevens.

.2. Elk bedrijf/persoon die beweert uw gegevens te ontsleutelen zonder ons te betalen, ze liegen gewoon en zullen u daarvoor veel extra geld in rekening brengen; ze nemen allemaal contact met ons op en kopen de decryptor van ons.

.3. bericht van ontwikkelaars: om mogelijke problemen met deze e-mailagent te voorkomen, altijd zoals voor testbestanden, betaal nooit iemand buiten deze twee e-mails, betaal alleen naar het portemonnee-adres dat we u samen met het testbestand sturen, dit zal garanderen dat u al uw bestanden zonder risico

.4.Sommige bestanden zijn versleuteld maar niet hernoemd; deze bestanden worden hersteld nadat de decoderingsprocedure is voltooid.

/**BELANGRIJK***/

.5.De map C:/Sheeva NIET verwijderen (het is een verborgen map), anders is decodering ONMOGELIJK

/**BELANGRIJK***/