Уязвимость WinRAR спровоцировала распространение шифровальщика JNEC.a
В феврале текущего года 500 миллионов пользователей WinRAR оказались в опасности. СпециалистамиCheckPoint была выявлена серьезная уязвимость (CVE-2018-20250), просуществовавшая в архивационном коде около 19 лет.
Помог уладить проблему выпущенный еще в январе 2019 года WinRAR 5.70 Beta 1. Разработчиками было принято решение полностью прекратить использование поддержки формата ACE. Однако, уже в феврале специалисты заметили первые атаки на уязвимость, а недавно было выявлено около 100 различных эксплоитов для данного бага. Последней новостью стало сообщение специалистов 360 Threat IntelligenceCenter о возникновении шифровальщика JNEC.a, написанном на .NET, который благодаря новой уязвимости успешно распространяется.
Специалисты отмечают, что шифровальщик проникает в директорию Startup путем распаковки зараженного архива и запускает свою работу при последующем входе в систему. Следует обратить внимание, что пользователя вынуждают обманным путем распаковать вредоносный объект, замаскированный вод файл GoogleUpdate.exe, который имеет значительное сходство с оригинальным средством обновления Google.
Система связи с атакующими, а также оплата выкупа имеет весьма специфический механизм в случаеJNEC.a. Злоумышленники требуют перевести сумму в размере 200 долларов США на свой виртуальный кошелек, предварительно создав на Gmail ящик с указанным преступниками уникальным адресом. После всех произведенных операций на новый почтовый ящик пострадавшей стороны присылается ключ-дешифровщик.
Согласно данным службы VirusTotal, на данный момент определить JNEC.a как вредоносную угрозу способны только 34 защитных продукта.
Еще одной неутешительной новостью для всех, подвергшихся атаке, стало заявление ИБ-специалистаМайкла Гиллеспи, который считает, что разработчиками JNEC.a была допущена ошибка в коде. А это означает, что даже сами злоумышленники не могут расшифровать файлы, подвергшиеся нападению. Эксперт призывает всех, кто столкнулся с данной проблемой, не платить выкуп, так как присылаемый ключ для дешифровки неспособен справиться со своей прямой задачей, и пострадавшая информация не подлежит восстановлению.