Cuba Ransomware

Entre as ameaças on-line mais prevalentes estão os Trojans de criptografia de dados, também conhecidos como ransomware. Criar ameaças de ransomware é bastante fácil, pois os cibercriminosos podem simplesmente usar um kit de criação de ransomware e criar rapidamente um novo Trojan de bloqueio de arquivos, pronto para distribuição. Uma das mais recentes ameaças dessa classe é chamada Cuba Ransomware. Ao estudar essa nova ameaça de ransomware, os pesquisadores de malware descobriram que essa é uma variante do Buran Ransomware.

Propagação e Criptografia

A maioria dos autores de ransomware costuma usar campanhas de spam por email como meio de propagar suas criações maliciosas. Normalmente, um e-mail desse tipo consiste em uma mensagem fraudulenta e um anexo malicioso. A mensagem tem como objetivo convencer o alvo a executar o arquivo anexado, pois é assim que a ameaça compromete seu sistema. Outros vetores de infecção populares são atualizações e downloads de software falsos, cópias piratas de aplicativos ou mídias populares, rastreadores de torrent, etc. O Cuba Ransomware verifica os arquivos no sistema do usuário e começa a bloqueá-los usando um algoritmo de criptografia. Arquivos como imagens, documentos, planilhas, vídeos, apresentações, bancos de dados, arquivos etc. serão bloqueados rapidamente. Ao bloquear um arquivo direcionado, o Cuba Ransomware aplica uma nova extensão ao seu nome - '.cuba.' Por exemplo, se você tiver nomeado uma imagem 'January-mist.mp4', o Cuba Ransomware renomeará o arquivo para 'January-mist.mp4.cuba' quando aplicar seu algoritmo de criptografia.

A Nota de Resgate

Quando o processo de criptografia estiver concluído, o Cuba Ransomware continuará com o ataque, exibindo uma mensagem de resgate na área de trabalho da vítima. A mensagem em questão é armazenada em um arquivo chamado '!!!TODOS OS SEUS ARQUIVOS SÃO ENCRIPTADOS!!! .txt. Na nota de resgate, os atacantes afirmam que, a menos que o usuário pague, eles não poderão recuperar seus dados. Há um endereço de e-mail fornecido para a vítima - 'happy_sysadmin@protonmail.com.' É assim que os autores do Cuba Ransomware esperam ser contatados para obter mais informações. Não há taxa de resgate específica mencionada, mas é provável que os invasores precisem de várias centenas de dólares em troca da chave de descriptografia necessária para desbloquear seus arquivos.

Não é aconselhável tentar entrar em contato com os agressores ou pagar a taxa de resgate que eles exigiriam. A maioria dos usuários que pagam nunca recebe as chaves de descriptografia de que precisam, portanto não faz sentido rolar os dados. Em vez disso, considere investir em uma solução antivírus respeitável que limpe seu sistema do Cuba Ransomware.