# Cuba **[id-ransomware.blogspot.com/2019/12/cuba-ransomware.html](https://id-ransomware.blogspot.com/2019/12/cuba-ransomware.html)** ## Cuba Ransomware ### (шифровальщик-вымогатель) (первоисточник) Translation into English Этот крипто-вымогатель шифрует данные корпоративной сети с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных. **Обнаружения:** **DrWeb -> Trojan.Encoder.30823, Trojan.Encoder.30979, Trojan.Encoder.31964,** Trojan.Encoder.33101 **BitDefender -> Trojan.GenericKD.32976553, Gen:Variant.Johnnie.215261** **Avira (no cloud) -> TR/FileCoder.xacls, HEUR/AGEN.1041333** **ESET-NOD32 -> Win32/Filecoder.OAE** **McAfee -> RDN/Generic.dx** **Rising -> Ransom.Gen!8.DE83 (CLOUD), Trojan.Filecoder!8.68 (CLOUD)** **Tencent -> Win32.Trojan.Gen.Hryu, Win32.Trojan.Gen.Pdlp** **VBA32 -> BScope.TrojanDownloader.Deyma** **Symantec -> Downloader** **© Генеалогия:** **[Buran ? >> Cuba](https://id-ransomware.blogspot.com/2019/05/buran-ransomware.html)** ----- Изображение — только логотип статьи К зашифрованным файлам добавляется расширение: .cuba Также используется файловый маркер FIDEL.CA **Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в** обновлениях. Там могут быть различия с первоначальным вариантом. Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. Записка с требованием выкупа называется: !!! ALL YOUR FILES ARE ENCRYPTED **!!!.TXT** **Содержание записки о выкупе:** !!! YOUR FILES ARE ENCRYPTED !!! All your files, documents, photos, databases and other important files are encrypted. You are not able to decrypt it by yourself! There is only one method of recovering files it is purchase an unique private key. Write to happy_sysadmin@protonmail.ch Your personal ID: 2 ----- Attention! - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. **Перевод записки на русский язык:** !!! Ваши файлы зашифрованы !!! Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы. Вы не можете расшифровать это сами! Есть только один способ восстановления файлов - это покупка уникального закрытого ключа. Пишите на адрес happy_sysadmin@protonmail.ch Ваш личный ID: 2 Внимание! - Не переименовывайте зашифрованные файлы. - Не пытайтесь расшифровать ваши данные с помощью сторонних программ, это может вызвать постоянную потерю данных. **Технические детали** Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы [распространения криптовымогателей" на вводной странице блога.](https://id-ransomware.blogspot.ru/2016/05/blog-post.html) Нужно всегда использовать [Актуальную антивирусную защиту!!!](https://anti-ransomware.blogspot.com/2019/02/topical-protection.html) Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3**2-1.** ➤ Скриншоты демонстрируют заголовок FIDEL.CA в коде зашифрованных файлов. Без сомнения вымогатели использовали это известное имя неслучайно. Это могло быть сделано ради эпатажа. ----- **Список файловых расширений, подвергающихся шифрованию:** Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр. **Файлы, связанные с этим Ransomware:** !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT .exe - случайное название вредоносного файла **Расположения:** \Desktop\ -> \User_folders\ -> \%TEMP%\ -> **Записи реестра, связанные с этим Ransomware:** См. ниже результаты анализов. **Сетевые подключения и связи:** Email: happy_sysadmin@protonmail.ch BTC: См. ниже в обновлениях другие адреса и контакты. См. ниже результаты анализов. **Результаты анализов (из первого обновления ниже):** Ⓗ **[Hybrid analysis >>](https://www.hybrid-analysis.com/sample/78ce13d09d828fc8b06cf55f8247bac07379d0c8b8c8b1a6996c29163fa4b659?environmentId=120)** 𝚺 **[VirusTotal analysis >>](https://www.virustotal.com/gui/file/78ce13d09d828fc8b06cf55f8247bac07379d0c8b8c8b1a6996c29163fa4b659/detection)** 🐞 **[Intezer analysis >>](https://analyze.intezer.com/#/analyses/301df5f9-a1db-42fa-aae4-e9c3261be0cc)** ᕒ **[ANY.RUN analysis >>](https://app.any.run/tasks/4843e18b-fa1a-4259-af8e-92b53ac74396/)** ⴵ **[VMRay analysis >>](https://www.vmray.com/analyses/78ce13d09d82/report/overview.html)** Ⓥ VirusBay samples >> � MalShare samples >> 👽 AlienVault analysis >> 🔃 CAPE Sandbox analysis >> ⟲ JOE Sandbox analysis >> Степень распространённости: средняя. Подробные сведения собираются регулярно. Присылайте образцы. === ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY === ----- **=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===** **Вариант от 22 января 2020:** Расширение: .cuba Записка: !!FAQ for Decryption!!.txt Email: iracomp4@protonmail.ch [Результаты анализов: VT +](https://www.virustotal.com/gui/file/78ce13d09d828fc8b06cf55f8247bac07379d0c8b8c8b1a6996c29163fa4b659/detection) **[VMR](https://www.vmray.com/analyses/78ce13d09d82/report/overview.html)** ➤ Содержание записки: Good day. All your files are encrypted. Fop decryption contact us. Write here iracomp4@protonmail.ch We also inform that your databases, ftp server and file server were downloaded by us to our servers. - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. **Вариант от 10 февраля 2020:** [Сообщение >>](https://twitter.com/GrujaRS/status/1226847994407944192) Расширение: .cuba Записка: !!FAQ for Decryption!!.txt Email: iracomp2@protonmail.ch [Результаты анализов: VT +](https://www.virustotal.com/gui/file/672fb249e520f4496e72021f887f8bb86fec5604317d8af3f0800d49aa157be1/detection) **[VMR](https://www.vmray.com/analyses/672fb249e520/report/overview.html)** ➤ Обнаружения: DrWeb -> Trojan.Encoder.30979 BitDefender -> Gen:Variant.Johnnie.215261 Avira (no cloud) -> HEUR/AGEN.1041333 ----- Rising -> Trojan.Filecoder!8.68 (CLOUD) Tencent -> Win32.Trojan.Gen.Pdlp ➤ Содержание записки: Good day. All your files are encrypted. For decryption contact us. Write here iracomp2@protonmail.ch We also inform that your databases, ftp server and file server were downloaded by us to our servers. - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. **Вариант от 14 марта 2020:** Расширение: .cuba Записка: !!FAQ for Decryption!!.txt ➤ Содержание записки: Good day. All your files are encrypted. For decryption contact us. Write here iracomp2@protonmail.ch We also inform that your databases, ftp server and file server were downloaded by us to our servers. - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. **Вариант от 4 июня 2020:** Расширение: .cuba Записка: !!FAQ for Decryption!!.txt Email: mrddnet_support@protonmail.ch Файл: CC.exe ➤ Содержание записки: Good day. All your files are encrypted. For decryption contact us. Write here mrddnet_support@protonmail.ch We also inform that your databases, ftp server and file server were downloaded by us to our servers. - Do not rename encrypted files. ----- Do not try to decrypt your data using third party software, it may cause permanent data loss. --➤ Обнаружения: DrWeb -> Trojan.Encoder.31964 Avast/AVG -> Win32:Malware-gen Avira (no cloud) -> TR/AD.ZDlder.wtwnt BitDefender -> Trojan.GenericKD.43285712 ESET-NOD32 -> A Variant Of Generik.CGSYLIU Kaspersky -> Trojan-Ransom.Win32.Encoder.jcd Malwarebytes -> Ransom.Fidel McAfee -> RDN/Akbot Microsoft -> Trojan:Win32/CryptInject!MSR Rising -> Trojan.Kryptik!1.C427 (CLOUD) Symantec -> ML.Attribute.HighConfidence Tencent -> Win32.Trojan.Encoder.Eek TrendMicro -> Possible_SMHPQAKBOTTH **Вариант от 10 июля 2020:** [Сообщение >>](https://twitter.com/xiaopao80087499/status/1281514447664590848) Расширение: .cuba Записка: !!FAQ for Decryption!!.txt Email: achtung_admin@protonmail.com Файл EXE: kalt.exe Мьютекс: Global\SvcctrlStartEvent_A3752DX ➤ Содержание записки: Good day. All your files are encrypted. For decryption contact us. Write here achtung_admin@protonmail.com We also inform that your databases, ftp server and file server were downloaded by us to our servers. - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. --[Результаты анализов: VT +](https://www.virustotal.com/gui/file/e942a8bcb3d4a6f6df6a6522e4d5c58d25cdbe369ecda1356a66dacbd3945d30/detection) **[IA +](https://analyze.intezer.com/#/analyses/e350d2e1-92d8-4511-b332-5c6e1e649503)** **[HA +](https://www.hybrid-analysis.com/sample/e942a8bcb3d4a6f6df6a6522e4d5c58d25cdbe369ecda1356a66dacbd3945d30/5f08a601dde4f65e9a142daa)** **[TG](https://tria.ge/reports/200710-t6cqb3fw8e/behavioral1)** ➤ Обнаружения: DrWeb -> Trojan.MulDrop4.25343 BitDefender -> Gen:Heur.Mint.Titirez.1.23 ESET-NOD32 -> A Variant Of Win32/Kryptik.HEPB Kaspersky -> Trojan-Ransom.Win32.Gen.xpi Malwarebytes -> Trojan.MalPack.GS Microsoft -> Trojan:Win32/Ymacco.AAE9 ----- Rising -> Ransom.Gen!8.DE83 (CLOUD) Symantec -> ML.Attribute.HighConfidence TrendMicro -> Ransom_Gen.R011C0GG820 **Вариант от 3 августа 2020:** [Сообщение >>](https://twitter.com/JAMESWT_MHT/status/1290245155987980289) Расширение: .cuba Email: aam_sysadmin@protonmail.com [Результаты анализов: VT +](https://www.virustotal.com/gui/file/271ef3c1d022829f0b15f2471d05a28d4786abafd0a9e1e742bde3f6b36872ad/detection) **[IA +](https://analyze.intezer.com/analyses/54b53065-390a-41d3-aa14-2d725cc122ab)** **[TG](https://tria.ge/200804-d3e1b2phf6/behavioral1)** --➤ Содержание записки: Good day. All your files are encrypted. For decryption contact us. Write here aam_sysadmin@protonmail.com We also inform that your databases, ftp server and file server were downloaded by us to our servers. - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. **Вариант от 13 ноября 2020:** [Сообщение >>](https://twitter.com/siri_urz/status/1327233462617731074) Расширение: .cuba Записка: !!FAQ for Decryption!!.txt Email: helpadmin2@protonmail.com, helpadmin2@cock.li [Результаты анализов: VT +](https://www.virustotal.com/gui/file/33352a38454cfc247bc7465bf177f5f97d7fd0bd220103d4422c8ec45b4d3d0e/detection) **[IA +](https://analyze.intezer.com/analyses/a8728ee4-a923-48b4-bf0f-524ff67bed4f)** **[VMR](https://www.vmray.com/analyses/33352a38454c/report/overview.html)** **Email-адреса других вариантов:** under_amur@protonmail.ch fedelsupportagent@cock.li admin@cuba-supp.com cuba_support@exploit.im **=== 2021 ===** ----- **Вариант от 20 января 2021:** [Пост на форуме >>](https://www.bleepingcomputer.com/forums/t/710572/cuba-ransomware-cuba-fidelca-support-topic/?p=5116186) Расширение: .cuba Записка: !!FAQ for Decryption!!.txt Email: LR_FWS_H2M_ET@protonmail.ch Tor-URL: http://cuba4mp6ximo2zlo.onion/ ➤ Содержание записки: Good day. All your files are encrypted. For decryption contact us. Write here LR_FWS_H2M_ET@protonmail.ch We also inform that your databases, ftp server and file server were downloaded by us to our servers. Check our platform: http://cuba4mp6ximo2zlo.onion/ - Do not rename encrypted files. - Do not try to decrypt your data using third party software, it may cause permanent data loss. --Вымогатели создали сайт, использующий фотографии Фиделя Кастро. ----- **Обновление от 18 февраля 2021:** [Статья на сайте BleepingComputer:](https://www.bleepingcomputer.com/news/security/us-cities-disclose-data-breaches-after-vendors-ransomware-attack/) Атака Cuba Ransomware на широко используемую в США службу автоматического перевода средств (ATFS) стала причиной официальных уведомлений об утечке данных из многих городов и агентств в Калифорнии и Вашингтоне (США). Эти города, использующие AFTS для обработки платежей или проверки адресов, вынуждены были раскрыть потенциальные утечки данных. AFTS находится в Сиэтле, штат Вашингтон. Их сайт до сих пор в дауне. Ниже мы перечислим некоторые города и агентства, которые выпустили уведомление об утечке данных. Вероятность того, что их будет больше, очень велика. Вот этот список: Департамент автотранспортных средств Калифорнии Город Киркленд, Вашингтон Город Линвуд, Вашингтон Город Монро, Вашингтон Город Сиэтл, Вашингтон Компания водоснабжения в Лейквуде, Вашингтон Пристань в Эверетте, Вашингтон и другие. **Вариант от 7 февраля 2022:** [Сообщение >>](https://twitter.com/petrovic082/status/1490408041405202439) Расширение: .cuba Записка: !! READ ME !!.txt Email: belingmor@cock.li, admin@cuba-supp.com Jabber: cuba_support@exploit.im Tor-URL: hxxx://cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd.onion/ [Результаты анализов: VT +](https://www.virustotal.com/gui/file/0c0769a5018a37076a7511714d42ae035826e7708c92e23abb5d2aaeb9919dfa) **[AR](https://app.any.run/tasks/4a61f5f5-3ed4-4c72-bfd7-d5b97252bc86/)** ----- **=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===** ``` Read to links: myMessage + Message ID Ransomware (ID as Cuba) Write-up, Topic of Support * Thanks: Andrew Ivanov (author), Michael Gillespie quietman7, sayso, Dmitry Bestuzhev Marc Rivero López, xiaopao to the victims who sent the samples ``` © Amigo-A (Andrew Ivanov): All blog articles. -----