HashDB
19.03.2019, 23:47
В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (https://xakep.ru/2019/02/21/winrar-bug/) (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.
Проблему устранили с релизом WinRAR 5.70 Beta 1 (https://www.win-rar.com/singlenewsview.html?&tx_ttnews%5Btt_news%5D=111&cHash=f03654bc7001a6bfae3a5204c153ba4e), еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе. Тем не менее, первые атаки на уязвимость были замечены (https://xakep.ru/2019/02/26/winrar-bug-attacks/) экспертами уже в феврале, а на прошлой неделе стало известно (https://xakep.ru/2019/03/15/winrar-exploits/), что для бага появилось уже более 100 разных эксплоитов.
Теперь специалисты 360 Threat Intelligence Center предупредили о появлении шифровальщика JNEC.a, который написан на .NET и тоже распространяется с помощью свежей уязвимости.
https://pbs.twimg.com/media/D16lhsUVAAAeho8.jpg:large
Исследователи пишут, что атакующие обманом вынуждают своих жертв распаковать вредоносный архив, из-за чего шифровальщик проникает в директорию Startup и начинает работу при следующем входе в систему. Малварь маскируется под файл GoogleUpdate.exe, который легко спутать с настоящим средством обновления Google.
https://xakep.ru/wp-content/uploads/2019/03/213282/JNEC_a_GoogleUpdate.png
Интересной особенностью JNEC.a является механизм, с помощью которого жертвы должны оплачивать выкуп и связываться со злоумышленниками. Пострадавшим предлагается создать на Gmail ящик с определенным уникальным адресом (указан в требовании преступников) и перевести 0,05 BTC (около 200 долларов США) на кошелек преступников, после чего жертве на свежесозданный ящик пришлют ключ дешифрования.
https://xakep.ru/wp-content/uploads/2019/03/213282/JNEC_a_ransom-note.png
Эксперты отмечают, что в настоящее время, согласно VirusTotal (https://www.virustotal.com/gui/file/d3f74955d9a69678b0fabb4cc0e298fb0909a96ea688658713 64578d99cd8025/details), лишь 34 защитных продукта определяют JNEC.a как угрозу.
Кроме того, скверную новость для всех пострадавших сообщил известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie). По данным эксперта, разработчики JNEC.a допустили в коде ошибку, и пострадавшая в результате работы шифровальщика информация не подлежит восстановлению, расшифровать файлы не смогут даже сами преступники.
https://www.2-spyware.com/news/wp-content/uploads/virusai/jnec-a-ransomware-file-locking-virus-demands-bitcoin_en.jpg
Проблему устранили с релизом WinRAR 5.70 Beta 1 (https://www.win-rar.com/singlenewsview.html?&tx_ttnews%5Btt_news%5D=111&cHash=f03654bc7001a6bfae3a5204c153ba4e), еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе. Тем не менее, первые атаки на уязвимость были замечены (https://xakep.ru/2019/02/26/winrar-bug-attacks/) экспертами уже в феврале, а на прошлой неделе стало известно (https://xakep.ru/2019/03/15/winrar-exploits/), что для бага появилось уже более 100 разных эксплоитов.
Теперь специалисты 360 Threat Intelligence Center предупредили о появлении шифровальщика JNEC.a, который написан на .NET и тоже распространяется с помощью свежей уязвимости.
https://pbs.twimg.com/media/D16lhsUVAAAeho8.jpg:large
Исследователи пишут, что атакующие обманом вынуждают своих жертв распаковать вредоносный архив, из-за чего шифровальщик проникает в директорию Startup и начинает работу при следующем входе в систему. Малварь маскируется под файл GoogleUpdate.exe, который легко спутать с настоящим средством обновления Google.
https://xakep.ru/wp-content/uploads/2019/03/213282/JNEC_a_GoogleUpdate.png
Интересной особенностью JNEC.a является механизм, с помощью которого жертвы должны оплачивать выкуп и связываться со злоумышленниками. Пострадавшим предлагается создать на Gmail ящик с определенным уникальным адресом (указан в требовании преступников) и перевести 0,05 BTC (около 200 долларов США) на кошелек преступников, после чего жертве на свежесозданный ящик пришлют ключ дешифрования.
https://xakep.ru/wp-content/uploads/2019/03/213282/JNEC_a_ransom-note.png
Эксперты отмечают, что в настоящее время, согласно VirusTotal (https://www.virustotal.com/gui/file/d3f74955d9a69678b0fabb4cc0e298fb0909a96ea688658713 64578d99cd8025/details), лишь 34 защитных продукта определяют JNEC.a как угрозу.
Кроме того, скверную новость для всех пострадавших сообщил известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie). По данным эксперта, разработчики JNEC.a допустили в коде ошибку, и пострадавшая в результате работы шифровальщика информация не подлежит восстановлению, расшифровать файлы не смогут даже сами преступники.
https://www.2-spyware.com/news/wp-content/uploads/virusai/jnec-a-ransomware-file-locking-virus-demands-bitcoin_en.jpg