Ransomware Cuba, propagado en América Latina

Recientemente se ha encontrado que el ransomware Cuba, Fidel está cifrando archivos en varias empresas de Latinoamérica y se propaga por archivos con macros adjuntos de correo electrónico macros, sitios web de torrents y anuncios maliciosos.

Cuba cifra todo tipo de documentos de MS Office, OpenOffice, PDF, archivos de texto, bases de datos, fotos, música, videos, archivos de imágenes, archivos, etc. Además cambia los nombres de los archivos agregando la extensión «.cuba» y crea el archivo de texto «!!FAQ for Decryption!!.txt», que es la «nota de rescate.

Cuba borra todas las instantáneas de volumen del sistema operativo Windows con la ayuda del siguiente comando:

vssadmin.exe delete shadows /all /Quiet

Los correos electrónicos de contacto con los creadores del malware son iracomp2@protonmail[.]chiracomp4@protonmail[.]ch y happy_sysadmin@protonmail[.]ch. Después del contacto inicial, supuestamente se recibe información sobre una una herramienta de descifrado y cómo pagarla.

Hasta el momento no hay herramientas gratuitas que puedan descifrar archivos cifrados por este ransomware.

IOCs

Marc Rivero ha creado una regla de Yara para la detección de Cuba.

Fuente: blog.segu-info.com.ar, CyberSecurityPlan

Comments are closed.