古巴勒索软件：完整指南

古巴勒索软件自 2021 年以来一直在攻击企业。其主要传播技术是通过仍需修补的已知软件漏洞。古巴勒索软件还通过网络钓鱼电子邮件和社会工程技术进行传播，一旦感染系统，可能会造成重大损害和运营中断。随着时间的推移，勒索软件不断发展和适应，能够绕过安全措施并加密受感染系统上的文件。本文将仔细研究古巴勒索软件、其攻击方法以及建议的预防和缓解策略。

古巴是什么样的恶意软件？

Cuba 是勒索软件，它是恶意软件的一种。尽管名为勒索软件，但该勒索软件与古巴共和国没有已知的关系。一旦古巴感染计算机，它就会对文件进行加密，并添加 .cuba 文件扩展名。然后，它会发出勒索信，威胁受害者，指出恢复文件的唯一方法是支付赎金。与大多数当前勒索软件一样，古巴威胁行为者使用双重勒索他们还威胁称，如果不支付赎金，他们就会泄露被盗数据。

我们所知道的有关古巴勒索软件的一切

此列表包含有关 古巴 发布的新型勒索软件病毒的基本信息中西医结合协会。确认姓名

• 古巴勒索软件

威胁类型

• 勒索软件
• 加密病毒
• 文件柜
• 双重勒索

加密文件扩展名

• .古巴

索要赎金的消息

• !!解密常见问题解答!!.txt

检测名称

• 阿瓦斯特Win32:恶意软件生成

• 平均电压Win32:恶意软件生成

• 埃姆西软件木马.GenericKD.46283436 (B)

• 卡巴斯基特洛伊木马 Ransom.Win32.Cuba.h

• 恶意软件字节恶意软件.AI.1342047581

• 微软赎金：MacOS/Filecoder

勒索软件家族、类型和变种Cuba 是一个勒索软件家族，其变体具有自己的文件加密功能。人们认为古巴是勒索软件即服务。分配方式

建议阅读：MEOW 勒索软件：完整指南

• 软件漏洞
• 零日漏洞
• 网络钓鱼电子邮件
• 恶意电子邮件附件
• 社会工程

结果

• 数据泄露
• 文件加密

有免费的解密器吗？

不。目前没有已知的古巴勒索软件可用的公共解密器。

古巴勒索软件 IOC

妥协指标 (IOC) 是在网络或操作系统中观察到的伪影，可高度可信地指示计算机入侵。 IOC 可用于使用入侵检测系统和防病毒软件来及早检测未来的攻击尝试。古巴勒索软件的已知 IOC包括：

• 扩展名为 .cuba 的文件。加密文件的原始文件名中将添加 .cuba 扩展名。
• 勒索信。攻击者通常会留下勒索信，解释发生的情况并要求付款以换取解密密钥。
• 无法打开文件。加密文件将无法打开或访问，因为它们被恶意软件锁定。
• 弹出消息。攻击者可能会显示弹出消息或警告窗口，表明受害者的文件已被加密并要求付款。

如何找到古巴勒索软件的勒索字条

古巴的勒索信很简短，解释了受害者必须采取的步骤才能检索数据。该说明指出，恢复公司正常运转的最简单途径是支付赎金。不要支付赎金或与威胁行为者谈判。立即联系 SalvageData 专家恢复您的文件，并联系当地政府报告勒索软件。古巴勒索软件勒索字样示例：

古巴勒索软件如何感染计算机或网络

古巴勒索软件是一种危险的恶意软件，可以通过多种方式感染计算机或网络，包括：

冒充合法企业的垃圾邮件和网络钓鱼电子邮件

诈骗者发送的电子邮件看似来自合法企业，例如 PayPal、UPS、FedEx 等。这些电子邮件包含会使您的数据和网络面临风险的链接或附件。一键点击链接或下载一次附件可能会将所有人锁定在您的网络之外。

社会工程

这是一种网络攻击，依靠人际互动来诱骗受害者泄露敏感信息、点击链接或附件，或采取其他危害安全的操作。社会工程攻击的目标是利用人类心理和行为来获取敏感信息或系统。攻击者可能冒充值得信赖的权威人物，例如银行代表或 IT 技术人员，或者制造紧迫感或恐惧感，以迫使受害者采取行动。

零日攻击

是指利用软件或硬件中先前未知的漏洞进行的网络安全攻击。这些漏洞被称为“零日”，因为软件或硬件的开发人员没有时间修补缺陷或创建安全更新，使用户得不到任何保护。

软件漏洞

这是软件代码中的一个缺陷，攻击者可以利用它来危害系统的安全。漏洞可能发生在软件开发生命周期的任何阶段，包括设计、编码、测试和部署。

古巴勒索软件如何运作

古巴勒索软件是一种恶意软件，它会加密受害者计算机上的文件，并要求付款以换取解密密钥。古巴勒索软件的工作原理如下：

1. 与命令和控制服务器的通信。Cuba 勒索软件通过使用 SOCKS5 连接的 SystemBC 恶意软件与命令和控制 (C2) 服务器进行通信。
2. 扫描可用网络。当执行时提供“-netscan”作为参数时，古巴勒索软件会扫描连接和共享网络。
3. 文件加密。古巴勒索软件使用对称和非对称加密算法的组合来加密受害者计算机上的个人文件。加密文件附加有“.cuba”扩展名。
4. 数据泄露。指未经授权从系统或网络复制、传输或提取数据。古巴威胁行为者窃取敏感信息，例如知识产权、财务记录、个人身份信息 (PII) 或其他类型的数据。
5. 放下勒索信。古巴勒索软件会显示一张勒索字条，其中解释了发生的情况并要求付款以换取解密密钥。通常要求以比特币或其他加密货币付款。
6. 双重勒索。与许多现代勒索软件变种一样，如果受害者不支付赎金，古巴勒索软件也可能威胁释放被盗数据。

如果受害者没有加密文件的备份，他们可能会认为支付赎金是恢复数据的唯一方法。但是，我们的专家建议不要支付赎金，因为这可能只会鼓励攻击者继续针对受害者进行勒索软件攻击，而且他们可能不会提供解密密钥。

如何应对古巴勒索软件攻击

从古巴勒索软件攻击中恢复的第一步是通过断开与互联网的连接并删除所有连接的设备来隔离受感染的计算机。然后，您必须联系地方当局。对于美国居民和企业来说，当地联邦调查局外地办事处和网络犯罪投诉中心（IC3）要报告勒索软件攻击，您必须收集有关勒索软件攻击的所有信息，包括：

• 勒索信截图
• 与古巴勒索软件攻击者的通信（如果有的话）
• 加密文件的示例

但是，如果您愿意联系勒索软件清除和恢复专业人员，然后什么也不做。让每台受感染的机器保持原样并致电紧急勒索软件清除服务。重新启动或关闭系统可能会影响恢复服务。捕获实时系统的 RAM 可能有助于获取加密密钥，而捕获 dropper 文件可能会被逆向工程并导致数据解密或了解其运行方式。您必须不删除勒索软件，并保留所有攻击证据。这对于数字取证这样专家就可以追溯到黑客组织并识别他们。当局可以通过使用受感染系统上的数据调查这次袭击并找到责任人。网络攻击调查与任何其他刑事调查没有什么不同：它需要证据来找到攻击者。

1.联系您的事件响应提供商

网络事件响应是响应和管理网络安全事件的过程。事件响应保留者是与网络安全提供商签订的服务协议，允许组织获得有关网络安全事件的外部帮助。它通过安全合作伙伴为组织提供结构化形式的专业知识和支持，使他们能够在发生网络事件时快速有效地做出响应。事件响应保留人员让组织高枕无忧，在网络安全事件发生之前和之后提供专家支持。事件响应保留器的具体性质和结构将根据提供商和组织的要求而变化。一个好的事件响应保留者应该是强大而灵活的，提供经过验证的服务来增强组织的长期安全态势。如果您联系您的 IR 服务提供商，那么他们会处理其他所有事情。但是，如果您决定与 IT 团队一起删除勒索软件并恢复文件，则可以按照以下步骤操作。

2. 识别勒索软件感染

不应跳过此步骤，因为错误识别勒索软件类型可能会导致不正确且可能有害的响应策略。例如，在没有适当知识的情况下尝试删除勒索软件可能会导致永久性数据丢失。因此，在采取任何行动之前正确识别已感染系统的恶意软件至关重要。您可以使用手头的任何信息并将其输入到勒索软件识别工具。然后，您可以查找公共解密密钥。对于 Cuba 勒索软件，您可以在文件名末尾看到文件扩展名 .cuba。这是其 IOC 之一。妥协指标 (IOC) 是网络安全专业人员用来识别网络或 IT 环境中的系统妥协和恶意活动的数字线索。除了文件扩展名之外，当提供“-netscan”作为参数时，古巴勒索软件还能够扫描连接和共享网络。这使得它能够在受感染的系统中更广泛地传播。

3. 删除勒索软件并消除漏洞利用工具包

在恢复数据之前，您必须保证您的设备没有勒索软件，并且攻击者无法通过漏洞利用套件或其他漏洞进行新的攻击。勒索软件删除服务可以删除勒索软件、创建调查取证文档、消除漏洞并恢复数据。使用反恶意软件/反勒索软件来隔离和删除恶意软件。

重要的：通过联系勒索软件删除服务，您可以确保您的计算机和网络没有古巴勒索软件的痕迹。此外，这些服务可以修补您的系统，防止新的攻击。

4.使用备份恢复数据

备份是恢复数据最有效的方法。确保保留每日或每周备份，具体取决于您的数据使用情况。这样，无论发生什么灾难，您都可以确保您始终拥有数据。

5.联系勒索软件恢复服务

如果您没有备份或需要帮助删除勒索软件和消除漏洞，您应该联系数据恢复服务。这是因为支付赎金并不能保证您的数据会归还给您，而且还存在很大的法律和道德问题。恢复每个文件并避免财务和声誉损失的唯一有保证的方法是拥有文件的备份。如果您不这样做，勒索软件数据恢复服务可以帮助您解密和恢复文件，并保护您的企业免受未来可能的攻击。SalvageData 专家可以安全地恢复您的文件并防止古巴勒索软件再次攻击您的网络。此外，我们还提供数字取证报告您可以使用它进行进一步调查并了解网络攻击是如何发生的。

防止古巴勒索软件攻击

防止勒索软件攻击是数据安全的最佳解决方案，因为它比恢复勒索软件攻击更容易、更便宜。古巴勒索软件可能会毁掉您企业的未来，甚至关门大吉。以下是一些提示，可确保您可以避免勒索软件攻击:

• 使用防病毒和反恶意软件软件
• 实施强密码
• 让您的软件和操作系统保持最新
• 使用防火墙加强保护
• 制定数据恢复计划
• 定期安排备份以保护您的数据
• 警惕来源不明的电子邮件附件
• 避免从可疑网站下载文件
• 点击广告时请小心
• 仅访问来源可靠的网站。