Sheeva Ransomware

Sheeva ransomware är en ny stam av filkrypterande skadlig programvara. Ransomwaren verkar inte tillhöra någon större familj av ransomware.

Sheeva skulle kryptera filer på offrets system, vilket påverkar de flesta icke-nödvändiga filer, inklusive media-, dokument-, arkiv- och databastillägg. När de väl är krypterade får filerna ett nytt tillägg och deras namn ändras en hel del, med komplexa strängar i flera delar. Det nya filnamnet består av flera strängar - offrets id, kontaktadressen för ransomwareförfattarna, det ursprungliga namnet och filtillägget och slutligen ".sheeva"-strängen.

Detta betyder att en fil som tidigare hette "document.docx" kommer att omvandlas till "id[alfanumerisk sträng].[Sheeva@onionmail.org].document.docx.sheeva.

Lösenedeln släpps in i en fil med namnet "sheeva.txt", som placeras på skrivbordet.

Den fullständiga texten i lösennotan är som följer:

::: Hälsningar :::

Dina viktiga data, inklusive ekonomi/utveckling, redovisning, strategier och andra viktiga dokument och databaser, har laddats ner och kommer att läcka ut snart om de inte betalas.

============================

Lite FAQ:

.1.

F: Vad har hänt?

S: Dina filer har krypterats och har nu tillägget "Sheeva". Filstrukturen har ändrats till oläsbart format, men du kan återställa dem alla med vårt verktyg.

.2.

F: Hur återställer man filer?

S: Om du vill dekryptera dina filer måste du betala med bitcoins.

.3.

F: Hur är det med garantier?

A: Det är bara ett företag. Vi bryr oss absolut inte om dig och dina erbjudanden, förutom att få förmåner. Ingen kommer att samarbeta med oss om vi inte gör vårt arbete och vårt ansvar. Det ligger inte i vårt intresse.

För att kontrollera möjligheten att returnera filer kan du skicka oss två filer (under 5MB) av vilket slag som helst som inte innehåller kritisk information. Vi kommer att dekryptera dem och skicka tillbaka dem till dig. Det är vår garanti.

.4.

F: Hur kontaktar man oss?

S: Du kan skriva till oss i vår brevlåda: Sheeva på onionmail dot org och Sheeva på cyberfear dot com

skriv detta i mejlets rubrik: ID:-

.5.

F: Hur kommer dekrypteringsprocessen att fortgå efter betalning?

S: Efter betalning skickar vi dig vårt dekoderprogram och ditt ID:s unika nycklar + detaljerade instruktioner för användning. Med detta program kommer du att kunna dekryptera alla dina krypterade filer.

.6.

F: Om jag inte vill betala dåliga människor som du?

S: Om du inte kommer att samarbeta med vår tjänst spelar det ingen roll för oss. Men du kommer att förlora din tid och data eftersom vi är de enda som har den privata nyckeln. I praktiken - tid är mycket mer värd än pengar.

:::AKTA SIG:::

1.1 Försök INTE ändra krypterade filer själv!

Om du använder programvara från tredje part för att återställa dina data eller antiviruslösningar, gör en säkerhetskopia av alla krypterade filer!

Eventuella ändringar i krypterade filer kan medföra skada på den privata nyckeln och, som ett resultat, förlust av all data.

.2. Varje företag/person som påstår sig dekryptera din data utan att betala oss, de ljuger helt enkelt och kommer att debitera dig en massa extra pengar för det; de kontaktar oss alla och köper dekrypteringen av oss.

.3. meddelande från utvecklare: för att undvika eventuella problem med denna e-postagent, alltid som för testfiler, betala aldrig någon utanför dessa två e-postmeddelanden, betala bara till plånboksadressen som vi skickar dig tillsammans med testfilen, detta kommer att garantera att du återställer alla dina filer utan risk

.4.Vissa filer krypterades men döptes inte om; dessa filer kommer att återställas efter att dekrypteringsproceduren är klar.

/**VIKTIG***/

.5. Radera INTE mappen C:/Sheeva (det är en dold mapp) annars kommer dekryptering att vara OMÖJLIG

/**VIKTIG***/