ANTICHAT — форум по информационной безопасности, OSINT и технологиям

В конце февраля 2019 года специалисты Check Point сообщили о серьезной уязвимости (CVE-2018-20250) в WinRAR и продемонстрировали ее эксплуатацию. Практически все 500 млн пользователей WinRAR оказались под угрозой, так как найденная проблема существовала в коде архиватора примерно 19 лет.

Проблему устранили с релизом WinRAR 5.70 Beta 1, еще в январе текущего года. Разработчики приняли решение отказаться от поддержки формата ACE вовсе. Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале, а на прошлой неделе стало известно, что для бага появилось уже более 100 разных эксплоитов.

Теперь специалисты 360 Threat Intelligence Center предупредили о появлении шифровальщика JNEC.a, который написан на .NET и тоже распространяется с помощью свежей уязвимости.



Исследователи пишут, что атакующие обманом вынуждают своих жертв распаковать вредоносный архив, из-за чего шифровальщик проникает в директорию Startup и начинает работу при следующем входе в систему. Малварь маскируется под файл GoogleUpdate.exe, который легко спутать с настоящим средством обновления Google.



Интересной особенностью JNEC.a является механизм, с помощью которого жертвы должны оплачивать выкуп и связываться со злоумышленниками. Пострадавшим предлагается создать на Gmail ящик с определенным уникальным адресом (указан в требовании преступников) и перевести 0,05 BTC (около 200 долларов США) на кошелек преступников, после чего жертве на свежесозданный ящик пришлют ключ дешифрования.



Эксперты отмечают, что в настоящее время, согласно VirusTotal, лишь 34 защитных продукта определяют JNEC.a как угрозу.

Кроме того, скверную новость для всех пострадавших сообщил известный ИБ-специалист Майкл Гиллеспи (Michael Gillespie). По данным эксперта, разработчики JNEC.a допустили в коде ошибку, и пострадавшая в результате работы шифровальщика информация не подлежит восстановлению, расшифровать файлы не смогут даже сами преступники.