Cuba Ransomware
Entre las amenazas en línea más frecuentes están los troyanos de cifrado de datos, también conocidos como ransomware. Crear amenazas de ransomware es bastante fácil ya que los delincuentes cibernéticos simplemente pueden usar un kit de construcción de ransomware y crear rápidamente un nuevo troyano de bloqueo de archivos listo para su distribución. Una de las amenazas más nuevas de esta clase se llama Cuba Ransomware. Al estudiar esta nueva amenaza de ransomware, los investigadores de malware descubrieron que esta es una variante del Buran Ransomware.
Propagación y Cifrado
La mayoría de los autores de ransomware tienden a usar campañas de correo electrónico no deseado como un medio de propagar sus creaciones maliciosas. Por lo general, un correo electrónico de este tipo consistiría en un mensaje fraudulento y un archivo adjunto malicioso. El mensaje tiene como objetivo convencer al objetivo de que ejecute el archivo adjunto, ya que así es como la amenaza comprometería su sistema. Otros vectores de infección populares son actualizaciones y descargas de software falsas, copias pirateadas de aplicaciones o medios populares, rastreadores de torrents, etc. El Cuba Ransomware se aseguraría de escanear los archivos en el sistema del usuario y comenzar a bloquearlos usando un algoritmo de cifrado. Los archivos como imágenes, documentos, hojas de cálculo, videos, presentaciones, bases de datos, archivos, etc., se bloquearán rápidamente. Al bloquear un archivo de destino, Cuba Ransomware aplica una nueva extensión a su nombre: '.cuba'. Por ejemplo, si ha nombrado una imagen 'January-mist.mp4', Cuba Ransomware cambiará el nombre del archivo a 'January-mist.mp4.cuba' cuando aplique su algoritmo de cifrado.
La nota de rescate
Cuando se complete el proceso de encriptación, Cuba Ransomware procederá con el ataque dejando caer un mensaje de rescate en el escritorio de la víctima. El mensaje en cuestión se almacena en un archivo llamado '!!! TODOS SUS ARCHIVOS ESTÁN ENCRIPTADOS !!!. Txt. ' En la nota de rescate, los atacantes afirman que a menos que el usuario pague, no podrán recuperar sus datos. Se proporciona una dirección de correo electrónico para la víctima: 'happy_sysadmin@protonmail.com'. Así es como los autores del Cuba Ransomware esperan ser contactados para obtener más información. No se menciona una tarifa de rescate específica, pero es probable que los atacantes requieran varios cientos de dólares a cambio de la clave de descifrado que necesitaría para desbloquear sus archivos.
No es aconsejable intentar contactar a los atacantes o pagarles la tarifa de rescate que exigirían. La mayoría de los usuarios que pagan nunca reciben las claves de descifrado que necesitan, por lo que no tiene sentido tirar los dados. En cambio, debería considerar invertir en una solución antivirus de buena reputación que borre su sistema del ransomware de Cuba.
