В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.
Проблему устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе. Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале, а на прошлой неделе стало известно, что для бага появилось уже более 100 разных эксплоитов.
Теперь специалисты 360 Threat Intelligence Center предупредили о появлении шифровальщика JNEC.a, который написан на .NET и тоже распространяется с помощью свежей уязвимости.
Warning!!!Possibly the first #ransomware (vk_4221345.rar) spread by #WinRAR exploit (#CVE-2018-20250). The attacker lures victims to decompress the archive through embedding a corrupt and incomplete female picture. It renames files with .Jnec extension.https://t.co/MHNgHw7zAI pic.twitter.com/Tn5SoXht2A
— 360 Threat Intelligence Center (@360TIC) March 18, 2019
Исследователи пишут, что атакующие обманом вынуждают своих жертв распаковать вредоносный архив, из-за чего шифровальщик проникает в директорию Startup и начинает работу при следующем входе в систему. Малварь маскируется под файл GoogleUpdate.exe, который легко спутать с настоящим средством обновления Google.
Интересной особенностью JNEC.a является механизм, с помощью которого жертвы должны оплачивать выкуп и связываться со злоумышленниками. Пострадавшим предлагается создать на Gmail ящик с определенным уникальным адресом (указан в требовании преступников) и перевести 0,05 BTC (около 200 долларов США) на кошелек преступников, после чего жертве на свежесозданный ящик пришлют ключ дешифрования.
Эксперты отмечают, что в настоящее время, согласно VirusTotal, лишь 34 защитных продукта определяют JNEC.a как угрозу.
Кроме того, скверную новость для всех пострадавших сообщил известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie). По данным эксперта, разработчики JNEC.a допустили в коде ошибку, и пострадавшая в результате работы шифровальщика информация не подлежит восстановлению, расшифровать файлы не смогут даже сами преступники.
PSA: DO NOT PAY. The criminals fucked up the key usage and even they cannot decrypt people's files. ?♂️
— Michael Gillespie (@demonslay335) March 18, 2019