Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Мировые новости. Обсуждения. (https://forum.antichat.xyz/forumdisplay.php?f=23)
-   -   Шифровальщик JNEC.a распространяется с помощью уязвимости в WinRAR (https://forum.antichat.xyz/showthread.php?t=469508)

HashDB 19.03.2019 23:47
В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.

Проблему устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе. Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале, а на прошлой неделе стало известно, что для бага появилось уже более 100 разных эксплоитов.

Теперь специалисты 360 Threat Intelligence Center предупредили о появлении шифровальщика JNEC.a, который написан на .NET и тоже распространяется с помощью свежей уязвимости.

https://pbs.twimg.com/media/D16lhsUVAAAeho8.jpg:large

Исследователи пишут, что атакующие обманом вынуждают своих жертв распаковать вредоносный архив, из-за чего шифровальщик проникает в директорию Startup и начинает работу при следующем входе в систему. Малварь маскируется под файл GoogleUpdate.exe, который легко спутать с настоящим средством обновления Google.

https://xakep.ru/wp-content/uploads/...ogleUpdate.png

Интересной особенностью JNEC.a является механизм, с помощью которого жертвы должны оплачивать выкуп и связываться со злоумышленниками. Пострадавшим предлагается создать на Gmail ящик с определенным уникальным адресом (указан в требовании преступников) и перевести 0,05 BTC (около 200 долларов США) на кошелек преступников, после чего жертве на свежесозданный ящик пришлют ключ дешифрования.

https://xakep.ru/wp-content/uploads/...ansom-note.png

Эксперты отмечают, что в настоящее время, согласно VirusTotal, лишь 34 защитных продукта определяют JNEC.a как угрозу.

Кроме того, скверную новость для всех пострадавших сообщил известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie). По данным эксперта, разработчики JNEC.a допустили в коде ошибку, и пострадавшая в результате работы шифровальщика информация не подлежит восстановлению, расшифровать файлы не смогут даже сами преступники.

https://www.2-spyware.com/news/wp-co...bitcoin_en.jpg


Время: 16:22