{
	"id": "bc8ea0c9-f4d7-42eb-9516-02df233de71e",
	"created_at": "2026-04-06T00:16:10.51428Z",
	"updated_at": "2026-04-10T03:21:22.31602Z",
	"deleted_at": null,
	"sha1_hash": "3049cc9b415b21897a034bd167d4b35bdd3493ec",
	"title": "Cuba",
	"llm_title": "",
	"authors": "",
	"file_creation_date": "0001-01-01T00:00:00Z",
	"file_modification_date": "0001-01-01T00:00:00Z",
	"file_size": 457086,
	"plain_text": "Cuba\r\nArchived: 2026-04-05 17:34:56 UTC\r\nCuba Ransomware\r\n(шифровальщик-вымогатель) (первоисточник)\r\nTranslation into English\r\nЭтот крипто-вымогатель шифрует данные корпоративной сети с помощью AES, а затем требует выкуп в #\r\nBTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет\r\nданных.\r\nОбнаружения:\r\nDrWeb -\u003e Trojan.Encoder.30823, Trojan.Encoder.30979, Trojan.Encoder.31964, Trojan.Encoder.33101\r\nBitDefender -\u003e Trojan.GenericKD.32976553, Gen:Variant.Johnnie.215261 \r\nAvira (no cloud) -\u003e TR/FileCoder.xacls, HEUR/AGEN.1041333\r\nESET-NOD32 -\u003e Win32/Filecoder.OAE\r\nMcAfee -\u003e RDN/Generic.dx\r\nRising -\u003e Ransom.Gen!8.DE83 (CLOUD), Trojan.Filecoder!8.68 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Gen.Hryu, Win32.Trojan.Gen.Pdlp\r\nVBA32 -\u003e BScope.TrojanDownloader.Deyma\r\nSymantec -\u003e Downloader\r\n© Генеалогия: Buran ? \u003e\u003e Cuba\r\nИзображение — только логотип статьи\r\nК зашифрованным файлам добавляется расширение: .cuba\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 1 of 11\n\nТакже используется файловый маркер FIDEL.CA Внимание! Новые расширения, email и тексты о\r\nвыкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным\r\nвариантом. \r\nРанняя активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало 2020 г.\r\nОриентирован на англоязычных пользователей, что не мешает распространять его по всему миру. \r\nЗаписка с требованием выкупа называется: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT\r\nСодержание записки о выкупе:\r\n!!! YOUR FILES ARE ENCRYPTED !!!\r\nAll your files, documents, photos, databases and other important\r\nfiles are encrypted.\r\nYou are not able to decrypt it by yourself! There is only one method\r\nof recovering files it is purchase an unique private key.\r\nWrite to happy_sysadmin@protonmail.ch\r\nYour personal ID: 2\r\nAttention!\r\n * Do not rename encrypted files.\r\n * Do not try to decrypt your data using third party software,\r\n   it may cause permanent data loss.\r\nПеревод записки на русский язык:\r\n!!! Ваши файлы зашифрованы !!!\r\nВсе ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.\r\nВы не можете расшифровать это сами! Есть только один способ восстановления файлов - это покупка\r\nуникального закрытого ключа.\r\nПишите на адрес happy_sysadmin@protonmail.ch\r\nВаш личный ID: 2\r\nВнимание!\r\n  * Не переименовывайте зашифрованные файлы.\r\n  * Не пытайтесь расшифровать ваши данные с помощью сторонних программ,\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 2 of 11\n\nэто может вызвать постоянную потерю данных.\r\nТехнические детали\r\nМожет распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама\r\nи вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов,\r\nфальшивых обновлений, перепакованных и заражённых инсталляторов. См. также \"Основные способы\r\nраспространения криптовымогателей\" на вводной странице блога.\r\nНужно всегда использовать Актуальную антивирусную защиту!!!\r\nЕсли вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то\r\nхотя бы делайте резервное копирование важных файлов по методу 3-2-1. \r\n➤ Скриншоты демонстрируют заголовок FIDEL.CA в коде зашифрованных файлов. Без сомнения\r\nвымогатели использовали это известное имя неслучайно. Это могло быть сделано ради эпатажа. \r\nСписок файловых расширений, подвергающихся шифрованию:\r\nЭто документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео,\r\nфайлы образов, архивы и пр.\r\nФайлы, связанные с этим Ransomware:\r\n!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT\r\n\u003crandom\u003e.exe - случайное название вредоносного файла\r\nРасположения:\r\n\\Desktop\\ -\u003e\r\n\\User_folders\\ -\u003e\r\n\\%TEMP%\\ -\u003e\r\nЗаписи реестра, связанные с этим Ransomware:\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 3 of 11\n\nСм. ниже результаты анализов.\r\nСетевые подключения и связи:\r\nEmail: happy_sysadmin@protonmail.ch\r\nBTC: - \r\nСм. ниже в обновлениях другие адреса и контакты.\r\nСм. ниже результаты анализов.\r\nРезультаты анализов (из первого обновления ниже):\r\nⒽ Hybrid analysis \u003e\u003e\r\n𝚺  VirusTotal analysis \u003e\u003e\r\n🐞 Intezer analysis \u003e\u003e\r\nᕒ  ANY.RUN analysis \u003e\u003e\r\nⴵ  VMRay analysis \u003e\u003e\r\nⓋ VirusBay samples \u003e\u003e\r\n⨇ MalShare samples \u003e\u003e\r\n👽 AlienVault analysis \u003e\u003e\r\n🔃 CAPE Sandbox analysis \u003e\u003e\r\n⟲ JOE Sandbox analysis \u003e\u003e\r\nСтепень распространённости: средняя.\r\nПодробные сведения собираются регулярно. Присылайте образцы.\r\n=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===\r\n=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===\r\nВариант от 22 января 2020:\r\nРасширение: .cuba\r\nЗаписка: !!FAQ for Decryption!!.txt\r\nEmail: iracomp4@protonmail.ch\r\nРезультаты анализов: VT + VMR\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 4 of 11\n\n➤ Содержание записки: \r\nGood day. All your files are encrypted. Fop decryption contact us.\r\nWrite here iracomp4@protonmail.ch \r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\nВариант от 10 февраля 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .cuba\r\nЗаписка: !!FAQ for Decryption!!.txt\r\nEmail: iracomp2@protonmail.ch\r\nРезультаты анализов: VT + VMR\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.30979\r\nBitDefender -\u003e Gen:Variant.Johnnie.215261 \r\nAvira (no cloud) -\u003e HEUR/AGEN.1041333\r\nRising -\u003e Trojan.Filecoder!8.68 (CLOUD)\r\nTencent -\u003e Win32.Trojan.Gen.Pdlp\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 5 of 11\n\n➤ Содержание записки: \r\nGood day. All your files are encrypted. For decryption contact us.\r\nWrite here iracomp2@protonmail.ch\r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\nВариант от 14 марта 2020:\r\nРасширение: .cuba\r\nЗаписка: !!FAQ for Decryption!!.txt\r\n➤ Содержание записки: \r\nGood day. All your files are encrypted. For decryption contact us.\r\nWrite here iracomp2@protonmail.ch\r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\nВариант от 4 июня 2020:\r\nРасширение: .cuba\r\nЗаписка: !!FAQ for Decryption!!.txt\r\nEmail: mrddnet_support@protonmail.ch\r\nФайл: CC.exe\r\n➤ Содержание записки:\r\nGood day. All your files are encrypted. For decryption contact us.\r\nWrite here mrddnet_support@protonmail.ch\r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\n---\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.Encoder.31964\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 6 of 11\n\nAvast/AVG -\u003e Win32:Malware-gen\r\nAvira (no cloud) -\u003e TR/AD.ZDlder.wtwnt\r\nBitDefender -\u003e Trojan.GenericKD.43285712\r\nESET-NOD32 -\u003e A Variant Of Generik.CGSYLIU\r\nKaspersky -\u003e Trojan-Ransom.Win32.Encoder.jcd\r\nMalwarebytes -\u003e Ransom.Fidel\r\nMcAfee -\u003e RDN/Akbot\r\nMicrosoft -\u003e Trojan:Win32/CryptInject!MSR\r\nRising -\u003e Trojan.Kryptik!1.C427 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTencent -\u003e Win32.Trojan.Encoder.Eek\r\nTrendMicro -\u003e Possible_SMHPQAKBOTTH\r\nВариант от 10 июля 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .cuba\r\nЗаписка: !!FAQ for Decryption!!.txt\r\nEmail: achtung_admin@protonmail.com\r\nФайл EXE: kalt.exe\r\nМьютекс: Global\\SvcctrlStartEvent_A3752DX\r\n➤ Содержание записки: \r\nGood day. All your files are encrypted. For decryption contact us.\r\nWrite here achtung_admin@protonmail.com\r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\n---\r\nРезультаты анализов: VT + IA + HA + TG\r\n➤ Обнаружения: \r\nDrWeb -\u003e Trojan.MulDrop4.25343\r\nBitDefender -\u003e Gen:Heur.Mint.Titirez.1.23\r\nESET-NOD32 -\u003e A Variant Of Win32/Kryptik.HEPB\r\nKaspersky -\u003e Trojan-Ransom.Win32.Gen.xpi\r\nMalwarebytes -\u003e Trojan.MalPack.GS\r\nMicrosoft -\u003e Trojan:Win32/Ymacco.AAE9\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 7 of 11\n\nRising -\u003e Ransom.Gen!8.DE83 (CLOUD)\r\nSymantec -\u003e ML.Attribute.HighConfidence\r\nTrendMicro -\u003e Ransom_Gen.R011C0GG820\r\nВариант от 3 августа 2020:\r\nСообщение \u003e\u003e\r\nРасширение: .cuba \r\nEmail: aam_sysadmin@protonmail.com\r\nРезультаты анализов: VT + IA + TG\r\n---\r\n➤ Содержание записки:\r\nGood day. All your files are encrypted. For decryption contact us.\r\nWrite here aam_sysadmin@protonmail.com\r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\nВариант от 13 ноября 2020:\r\nРасширение: .cuba \r\nЗаписка: !!FAQ for Decryption!!.txt \r\nEmail: helpadmin2@protonmail.com, helpadmin2@cock.li\r\nРезультаты анализов: VT + IA + VMR\r\nEmail-адреса других вариантов:\r\nunder_amur@protonmail.ch\r\nfedelsupportagent@cock.li\r\nadmin@cuba-supp.com\r\ncuba_support@exploit.im\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 8 of 11\n\n=== 2021 ===\r\nВариант от 20 января 2021: \r\nРасширение: .cuba \r\nЗаписка: !!FAQ for Decryption!!.txt \r\nEmail: LR_FWS_H2M_ET@protonmail.ch\r\nTor-URL: http://cuba4mp6ximo2zlo.onion/\r\n➤ Содержание записки: \r\nGood day. All your files are encrypted. For decryption contact us.\r\nWrite here LR_FWS_H2M_ET@protonmail.ch\r\nWe also inform that your databases, ftp server and file server were downloaded by us to our servers.\r\nCheck our platform: http://cuba4mp6ximo2zlo.onion/\r\n* Do not rename encrypted files.\r\n* Do not try to decrypt your data using third party software,\r\nit may cause permanent data loss.\r\n---\r\nВымогатели создали сайт, использующий фотографии Фиделя Кастро. \r\nОбновление от 18 февраля 2021:\r\nАтака Cuba Ransomware на широко используемую в США службу автоматического перевода\r\nсредств (ATFS) стала причиной официальных уведомлений об утечке данных из многих городов и агентств\r\nв Калифорнии и Вашингтоне (США). Эти города, использующие AFTS для обработки платежей или\r\nпроверки адресов, вынуждены были раскрыть потенциальные утечки данных. AFTS находится в Сиэтле,\r\nштат Вашингтон. Их сайт до сих пор в дауне. \r\nНиже мы перечислим некоторые города и агентства, которые выпустили уведомление об утечке данных.\r\nВероятность того, что их будет больше, очень велика. Вот этот список: \r\nДепартамент автотранспортных средств Калифорнии\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 9 of 11\n\nГород Киркленд, Вашингтон\r\nГород Линвуд, Вашингтон\r\nГород Монро, Вашингтон\r\nГород Сиэтл, Вашингтон\r\nКомпания водоснабжения в Лейквуде, Вашингтон\r\nПристань в Эверетте, Вашингтон\r\nи другие. \r\n=== 2022 ===\r\nВариант от 7 февраля 2022: \r\nРасширение: .cuba\r\nЗаписка: !! READ ME !!.txt\r\nEmail: belingmor@cock.li, admin@cuba-supp.com\r\nJabber: cuba_support@exploit.im\r\nTor-URL: hxxx://cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd.onion/\r\nРезультаты анализов: VT + AR\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 10 of 11\n\nОбновления мая-июня 2022:\r\nОбновление 1 декабря 2022:\r\nФБР: cuba Ransomware получила 60 миллионов долларов от более чем 100 пострадавших. \r\n=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===\r\n Read to links:\r\n myMessage + Message\r\n ID Ransomware (ID as Cuba)\r\n Write-up, Topic of Support\r\n *\r\n Thanks:\r\n Andrew Ivanov (author), Michael Gillespie\r\n quietman7, sayso, Dmitry Bestuzhev\r\n Marc Rivero López, xiaopao\r\n to the victims who sent the samples\r\n \r\n© Amigo-A (Andrew Ivanov): All blog articles.\r\nSource: https://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nhttps://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html\r\nPage 11 of 11",
	"extraction_quality": 1,
	"language": "EN",
	"sources": [
		"Malpedia"
	],
	"references": [
		"https://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html"
	],
	"report_names": [
		"cuba-ransomware.html"
	],
	"threat_actors": [],
	"ts_created_at": 1775434570,
	"ts_updated_at": 1775791282,
	"ts_creation_date": 0,
	"ts_modification_date": 0,
	"files": {
		"pdf": "https://archive.orkl.eu/3049cc9b415b21897a034bd167d4b35bdd3493ec.pdf",
		"text": "https://archive.orkl.eu/3049cc9b415b21897a034bd167d4b35bdd3493ec.txt",
		"img": "https://archive.orkl.eu/3049cc9b415b21897a034bd167d4b35bdd3493ec.jpg"
	}
}