Если вы не видите здесь изображений, то используйте VPN.

вторник, 31 декабря 2019 г.

Bluerose

Bluerose Ransomware

(шифровальщик-вымогатель, деструктор) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует или делает вид, что шифрует данные пользователей, а затем выводит сообщение, где только высказывает свою точку зрения, но не выдвигает никаких требований, чтобы сообщить пострадавшему, как вернуть файлы. Оригинальное название: Bluerose и BlueroseVirus. На файле написано: BlueroseVirus.exe. Разработчики из США. 

Обнаружения:
DrWeb -> Trojan.Rat.2
BitDefender -> Gen:Heur.Bodegun.1
Symantec -> Trojan.Bodegun
ALYac -> Trojan.Agent.Casdet
Microsoft -> Trojan:Win32/Casdet!rfn

© Генеалогия: выясняется, явное родство с кем-то не доказано.
Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: *нет данных*.


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Образец этого крипто-вымогателя был найден в конце декабря 2019 г. Время первой загрузки на сайт VT: 24 декабря 2019. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: brehrose.txt


Содержание записки о выкупе:
BLUEROSE TERMINATED YOUR COMPUTER!
There is no way to fix your computer thanks Jared Valdez he learned my 
ability flora rose ransom encryption of other pcs laptops 
discord Jared Valdez from colorado yes he did make Blue rose with his partner julius cole from richmond 
virginia street bryanwood rd 4000 he make Bluerose get a bunch finally mercedes benz ml 270 
san mateo california computers are taken down roblox HQ users will no longer exist forever 0 
Malicious code kidnapper information blackmailer data stealer encryptor of pcs laptops taken down 
entire roblox website is the jared valdez and julius cole objective taken down other computer 
workers

Перевод записки на русский язык:
BLUEROSE УНИЧТОЖИЛ ВАШ КОМПЬЮТЕР
Нет никакого способа исправить ваш компьютер, спасибо Джаред Вальдес, он узнал мою способность Flora Rose выкупа шифрования других ПК ноутбуков 
Discord Jared Valdez из Колорадо да, он сделал Голубую розу со своим партнером Джулиусом Коулом из Ричмонда
Вирджиния-стрит Брайанвуд Rd 4000 он делает Bluerose получить букет, наконец, Mercedes-Benz ml 270
Сан-Матео Калифорния компьютеры сняты пользователи Roblox HQ не будет существовать вечно до 0
Вредоносный код похитителя информации, шантажист, данные, похититель, енкриптор, ПК ноутбуки сняты
Весь сайт Roblox - это цель Джареда Вальдеса и Джулиуса Коула, снятые с других компьютеров
рабочие

Записка вымогателей в виде изображения (файл brehrose.png) загружается онлайн с сайта discordapp.com: 


Содержание записки о выкупе:
Bluerose terminated your computer
there no way to fix your computer thanks Jared valdez he learned my
ability flora rose ransom encryption of other pcs laptops
discord Jared valdez from Colorado yes he did make Blue rose with his partner julius cole from richmond
Virginia street bryanwood rd 4000 he make Bluerose get a bunch finally mercedes benz ml 270
san mateo California computers are taken down roblox HQ users will no exist forever to 0
Malicious code kidnapper information blackmailer data stealer ecryptor of pes laptops taken down
entire roblox website is the jared valdez and julius cole objective taken down other computers
workers

Перевод записки на русский язык:
Bluerose уничтожил ваш компьютер
нет никакого способа исправить ваш компьютер, спасибо Джаред Вальдес, он узнал мой
Способность Flora Rose выкупа шифрования других ПК ноутбуков
Раздор Джареда Вальдеса из Колорадо да, он сделал Голубую розу со своим партнером Джулиусом Коулом из Ричмонда
Вирджиния-стрит Брайанвуд Rd 4000 он делает Bluerose получить букет, наконец, Mercedes-Benz мл 270
Сан-Матео Калифорния компьютеры сняты пользователи Roblox HQ не будет существовать вечно до 0
Вредоносный код похитителя информации, шантажист, данные, похититель, екриптор, pes ноутбуки сняты
Весь сайт Roblox - это цель Джареда Вальдеса и Джулиуса Коула, снятые с других компьютеров
рабочие

---
Исследователь вредоносных программ с ником MalwareHunterTeam предоставил только следующие скриншоты из кода шифровальщика. Нет никаких пояснений, согласно утвержденному шаблону статьи, включающем текстовую записку. Видимо, это должно быть понятно априори. 

Содержание текста со скриншота:
BLUEROSE TERMINATED YOUR COMPUTER!
There is no way to fix your computer thanks Jared Valdez he learned my
ability flora rose ransom encryption of other pcs laptops 
discord Jared Valdez from Colorado yes he did make Blue rose with his partner julius cole from richmond 
virginia street bryanwood rd 4000 he make Bluerose get a bunch finally mercedes benz ml 270
san mateo california computers are taken down roblox HQ users will no longer exist forever 0 
Malicious code kidnapper information blackmailer data stealer encryptor of pcs laptops taken down 
entire roblox website is the jared valdez and julius cole objective taken down other computer 
workers

Перевод текста на русский язык: 
BLUEROSE УНИЧТОЖИЛ ВАШ КОМПЬЮТЕР!
Нет никакого способа починить ваш компьютер, благодаря Джареду Вальдесу, он узнал о моих способностях шифрования с помощью выкупа других ПК ноутбуков.
Дискорд Джаред Вальдес из Колорадо, да, он сделал Голубую розу со своим партнером Джулиусом Коулом из Ричмонда
Вирджиния-стрит Брайанвуд RD 4000 он делает Bluerose получить букет, наконец, Mercedes-Benz мл 270
Сан-Матео, Калифорния, компьютеры сняты. Пользователи штаб-квартиры Roblox больше не будут существовать 0
Вредоносный код похититель информации шантажист данных похититель данных шт ноутбуки сняты
Весь сайт Roblox - это цель Джареда Вальдеса и Джулиуса Коула, снятая с другого компьютера
рабочие
---


Содержание текста со скриншота:
Hacked by bluerose
Imagine getting hacked by bluerose:tm:
MY PC IS DOING WEIRD THINGS WTF IS GOING ON PLS HELP OMG
julius coles is god
---
How to hack lego game working 2019
How do I get bluerose pls help
who is bluerose???
OMG GUYS I CAN HACK FE LOL OMG LOOK
1011101011100110111011
I will hack you with my Is and 0s bitch



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ UAC не обходит. Требуется разрешение на запуск. Из-за ошибок в программе шифрование не происходит. С помощью сервиса Any.Run я сохранил файл отладки new 1.txt, в котором содержится дополнительная информация.

➤ Используется троян удаленного доступа, известный с 2013 года или раньше. Одна из ранних ссылок на VT.


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
brehrose.png
brehrose.txt
brehrose.mp3
EGJ5Kh2U8AAuFmb.png
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->
xxxxs://cdn.discordapp.com/attachments/626218960483778560/657082039631216701/EGJ5Kh2U8AAuFmb.png

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email:
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (ID as ***)
 Write-up, Topic of Support
 * 
 Thanks: 
 MalwareHunterTeam
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

MZP

MZP Ransomware

Unnamed [31.12.19] Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные пользователей с помощью AES, а затем требует написать на email вымогателей, чтобы узнать, как вернуть файлы. Оригинальное название: в записке не указано. На файле написано: 01.exe. Были использованы Borland Delphi и Pascal. 

Обнаружения:
DrWeb -> Trojan.Encoder.30479
BitDefender -> Trojan.GenericKD.42198828
Avira (no cloud)  -> TR/FileCoder.aexev
ESET-NOD32  -> Win32/Filecoder.NZT
Rising -> Ransom.Agent!1.C12B (KTSE)
Kaspersky -> Trojan.Win32.Zudochka.dug
Symantec -> ML.Attribute.HighConfidence 


© Генеалогия: выясняется, явное родство с кем-то не доказано.


Изображение — логотип статьи

К зашифрованным файлам добавляется расширение: .<random{8}>

Примеры таких расширений:
.jeynxrya
.gqcuujix
.dvodltmf

Этимология названия:
Название программы не указано на файле или в описании файла, email неудобен для названия, т.к. отражает легитимное действие (recover_24_7) и не подходит для именования вредоносной программы. Поэтому для публикации статьи выбрано то, что есть в заголовке зашифрованного файла, т.е. сочетание букв MZP. Буква "P" после MZ Magic означает "Pascal". Это не уникальное сочетание, но ничего другого не нашлось. 


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Активность этого крипто-вымогателя пришлась на конец декабря 2019 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру.

Записка с требованием выкупа называется: HOW TO RESTORE ENCRYPTED FILES.TXT

Содержание записки о выкупе:
If you want to return your .gqcuujix files, contact us and we will send you a decryptor and a unique decryption key.
recover_24_7@protonmail.com
All your files have been encrypted!
Your personal identifier:
===========================================================================================
-------------------------------------------------------------------------------------------
2585313378015075193309230117777086369619045645880917223069467861*** [всего 600 знаков]
-------------------------------------------------------------------------------------------
===========================================================================================



Перевод записки на русский язык:
Если вы хотите вернуть файлы .gqcuujix, свяжитесь с нами, и мы вышлем вам расшифровщик и уникальный ключ расшифровки.
recover_24_7@protonmail.com
Все ваши файлы были зашифрованы!
Ваш персональный идентификатор:
2585313378015075193309230117777086369619045645880917223069467861*** [всего 600 знаков]



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
01.exe
HOW TO RESTORE ENCRYPTED FILES.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: recover_24_7@protonmail.com
BTC:
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов:
Ⓗ Hybrid analysis >>
𝚺  VirusTotal analysis >>  VT>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>  AR> AR>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: низкая.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Ещё не было обновлений этого варианта.



=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Tweet on Twitter + Tweet + myTweet
 ID Ransomware (n/a)
 Write-up, Topic of Support
 * 
 Thanks: 
 Akhmed Taia, GrujaRS
 Andrew Ivanov (author)
 ***
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Cuba

Cuba Ransomware

(шифровальщик-вымогатель) (первоисточник)
Translation into English


Этот крипто-вымогатель шифрует данные корпоративной сети с помощью AES, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальное название: в записке не указано. На файле написано: нет данных.

Обнаружения:
DrWeb -> Trojan.Encoder.30823, Trojan.Encoder.30979, Trojan.Encoder.31964, Trojan.Encoder.33101
BitDefender -> Trojan.GenericKD.32976553, Gen:Variant.Johnnie.215261 
Avira (no cloud) -> TR/FileCoder.xacls, HEUR/AGEN.1041333
ESET-NOD32 -> Win32/Filecoder.OAE
McAfee -> RDN/Generic.dx
Rising -> Ransom.Gen!8.DE83 (CLOUD), Trojan.Filecoder!8.68 (CLOUD)
Tencent -> Win32.Trojan.Gen.Hryu, Win32.Trojan.Gen.Pdlp
VBA32 -> BScope.TrojanDownloader.Deyma
Symantec -> Downloader

© Генеалогия: Buran ? >> Cuba

Cuba Ransomware

Изображение — только логотип статьи

К зашифрованным файлам добавляется расширение: .cuba

Также используется файловый маркер FIDEL.CA


Внимание! Новые расширения, email и тексты о выкупе можно найти в конце статьи, в обновлениях. Там могут быть различия с первоначальным вариантом. 


Ранняя активность этого крипто-вымогателя пришлась на конец декабря 2019 - начало 2020 г. Ориентирован на англоязычных пользователей, что не мешает распространять его по всему миру. 

Записка с требованием выкупа называется: !!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT

Cuba Ransomware note, записка


Содержание записки о выкупе:
!!! YOUR FILES ARE ENCRYPTED !!!
All your files, documents, photos, databases and other important
files are encrypted.
You are not able to decrypt it by yourself! There is only one method
of recovering files it is purchase an unique private key.
Write to happy_sysadmin@protonmail.ch
Your personal ID: 2
Attention!
 * Do not rename encrypted files.
 * Do not try to decrypt your data using third party software,
   it may cause permanent data loss.

Перевод записки на русский язык:
!!! Ваши файлы зашифрованы !!!
Все ваши файлы, документы, фотографии, базы данных и другие важные файлы зашифрованы.
Вы не можете расшифровать это сами! Есть только один способ восстановления файлов - это покупка уникального закрытого ключа.
Пишите на адрес happy_sysadmin@protonmail.ch
Ваш личный ID: 2
Внимание!
  * Не переименовывайте зашифрованные файлы.
  * Не пытайтесь расшифровать ваши данные с помощью сторонних программ,
    это может вызвать постоянную потерю данных.



Технические детали

Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

Нужно всегда использовать Актуальную антивирусную защиту!!!
Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1


➤ Скриншоты демонстрируют заголовок FIDEL.CA в коде зашифрованных файлов. Без сомнения вымогатели использовали это известное имя неслучайно. Это могло быть сделано ради эпатажа. 



Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!! ALL YOUR FILES ARE ENCRYPTED !!!.TXT
<random>.exe - случайное название вредоносного файла

Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

Сетевые подключения и связи:
Email: happy_sysadmin@protonmail.ch
BTC: - 
См. ниже в обновлениях другие адреса и контакты.
См. ниже результаты анализов.

Результаты анализов (из первого обновления ниже):
Hybrid analysis >>
𝚺  VirusTotal analysis >>
🐞 Intezer analysis >>
ᕒ  ANY.RUN analysis >>
ⴵ  VMRay analysis >>
Ⓥ VirusBay samples >>
⨇ MalShare samples >>
👽 AlienVault analysis >>
🔃 CAPE Sandbox analysis >>
⟲ JOE Sandbox analysis >>


Степень распространённости: средняя.
Подробные сведения собираются регулярно. Присылайте образцы.



=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===



=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

Вариант от 22 января 2020:
Расширение: .cuba
Записка: !!FAQ for Decryption!!.txt
Email: iracomp4@protonmail.ch
Результаты анализов: VT + VMR




➤ Содержание записки: 
Good day. All your files are encrypted. Fop decryption contact us.
Write here iracomp4@protonmail.ch 
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.

Вариант от 10 февраля 2020:
Сообщение >>
Расширение: .cuba
Записка: !!FAQ for Decryption!!.txt
Email: iracomp2@protonmail.ch
Результаты анализов: VT + VMR
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.30979
BitDefender -> Gen:Variant.Johnnie.215261 
Avira (no cloud) -> HEUR/AGEN.1041333
Rising -> Trojan.Filecoder!8.68 (CLOUD)
Tencent -> Win32.Trojan.Gen.Pdlp


➤ Содержание записки: 
Good day. All your files are encrypted. For decryption contact us.
Write here iracomp2@protonmail.ch
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.


Вариант от 14 марта 2020:
Расширение: .cuba
Записка: !!FAQ for Decryption!!.txt
➤ Содержание записки: 
Good day. All your files are encrypted. For decryption contact us.
Write here iracomp2@protonmail.ch
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.


Вариант от 4 июня 2020:
Расширение: .cuba
Записка: !!FAQ for Decryption!!.txt
Email: mrddnet_support@protonmail.ch
Файл: CC.exe
➤ Содержание записки:
Good day. All your files are encrypted. For decryption contact us.
Write here mrddnet_support@protonmail.ch
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.
---
Результаты анализов: VT + IA + TG + VMR + MS
➤ Обнаружения: 
DrWeb -> Trojan.Encoder.31964
Avast/AVG -> Win32:Malware-gen
Avira (no cloud) -> TR/AD.ZDlder.wtwnt
BitDefender -> Trojan.GenericKD.43285712
ESET-NOD32 -> A Variant Of Generik.CGSYLIU
Kaspersky -> Trojan-Ransom.Win32.Encoder.jcd
Malwarebytes -> Ransom.Fidel
McAfee -> RDN/Akbot
Microsoft -> Trojan:Win32/CryptInject!MSR
Rising -> Trojan.Kryptik!1.C427 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
Tencent -> Win32.Trojan.Encoder.Eek
TrendMicro -> Possible_SMHPQAKBOTTH


Вариант от 10 июля 2020:
Сообщение >>
Расширение: .cuba
Записка: !!FAQ for Decryption!!.txt
Email: achtung_admin@protonmail.com
Файл EXE: kalt.exe
Мьютекс: Global\SvcctrlStartEvent_A3752DX
➤ Содержание записки: 
Good day. All your files are encrypted. For decryption contact us.
Write here achtung_admin@protonmail.com
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.
---
Результаты анализов: VT + IA + HA + TG
➤ Обнаружения: 
DrWeb -> Trojan.MulDrop4.25343
BitDefender -> Gen:Heur.Mint.Titirez.1.23
ESET-NOD32 -> A Variant Of Win32/Kryptik.HEPB
Kaspersky -> Trojan-Ransom.Win32.Gen.xpi
Malwarebytes -> Trojan.MalPack.GS
Microsoft -> Trojan:Win32/Ymacco.AAE9
Rising -> Ransom.Gen!8.DE83 (CLOUD)
Symantec -> ML.Attribute.HighConfidence
TrendMicro -> Ransom_Gen.R011C0GG820



Вариант от 3 августа 2020:
Сообщение >>
Расширение: .cuba 
Email: aam_sysadmin@protonmail.com
Результаты анализов: VT + IA + TG
---
➤ Содержание записки:
Good day. All your files are encrypted. For decryption contact us.
Write here aam_sysadmin@protonmail.com
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.


Вариант от 13 ноября 2020:
Расширение: .cuba 
Записка: !!FAQ for Decryption!!.txt 
Email: helpadmin2@protonmail.com, helpadmin2@cock.li
Результаты анализов: VT + IA + VMR



Email-адреса других вариантов:
under_amur@protonmail.ch
fedelsupportagent@cock.li
admin@cuba-supp.com
cuba_support@exploit.im


=== 2021 ===

Вариант от 20 января 2021: 
Расширение: .cuba 
Записка: !!FAQ for Decryption!!.txt 
Email: LR_FWS_H2M_ET@protonmail.ch
Tor-URL: http://cuba4mp6ximo2zlo.onion/
➤ Содержание записки: 
Good day. All your files are encrypted. For decryption contact us.
Write here LR_FWS_H2M_ET@protonmail.ch
We also inform that your databases, ftp server and file server were downloaded by us to our servers.
Check our platform: http://cuba4mp6ximo2zlo.onion/
* Do not rename encrypted files.
* Do not try to decrypt your data using third party software,
it may cause permanent data loss.
---
Вымогатели создали сайт, использующий фотографии Фиделя Кастро. 




 

Обновление от 18 февраля 2021:
Атака Cuba Ransomware на широко используемую в США службу автоматического перевода средств (ATFS) стала причиной официальных уведомлений об утечке данных из многих городов и агентств в Калифорнии и Вашингтоне (США). Эти города, использующие AFTS для обработки платежей или проверки адресов, вынуждены были раскрыть потенциальные утечки данных. AFTS находится в Сиэтле, штат Вашингтон. Их сайт до сих пор в дауне. 



Ниже мы перечислим некоторые города и агентства, которые выпустили уведомление об утечке данных. Вероятность того, что их будет больше, очень велика. Вот этот список: 
Департамент автотранспортных средств Калифорнии
Город Киркленд, Вашингтон
Город Линвуд, Вашингтон
Город Монро, Вашингтон
Город Сиэтл, Вашингтон
Компания водоснабжения в Лейквуде, Вашингтон
Пристань в Эверетте, Вашингтон
и другие. 


=== 2022 ===

Вариант от 7 февраля 2022: 
Расширение: .cuba
Записка: !! READ ME !!.txt
Email: belingmor@cock.li, admin@cuba-supp.com
Jabber: cuba_support@exploit.im
Tor-URL: hxxx://cuba4ikm4jakjgmkezytyawtdgr2xymvy6nvzgw5cglswg3si76icnqd.onion/
Результаты анализов: VT + AR




Обновления мая-июня 2022:


Обновление 1 декабря 2022:
ФБР: cuba Ransomware получила 60 миллионов долларов от более чем 100 пострадавших. 


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 myMessage + Message
 ID Ransomware (ID as Cuba)
 Write-up, Topic of Support
 * 
 Thanks: 
 Andrew Ivanov (author), Michael Gillespie
 quietman7, sayso, Dmitry Bestuzhev
 Marc Rivero López, xiaopao
 to the victims who sent the samples
 

© Amigo-A (Andrew Ivanov): All blog articles.

Постоянные читатели

My tweet feed

My tweet feed
Follow me!

My profile on BC

My profile on BC
Follow me!

Форма для связи / Contact

Имя

Электронная почта *

Сообщение *