Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Эксперты нашли зловред, который заражает жертв через вредоносный архив и шифрует файлы без возможности восстановления.
Эксперты обнаружили первый зловред-вымогатель, который эксплуатирует обнаруженную в январе RCE-уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании.
Специалисты назвали свою находку JNEC.a. Вымогатель, оказавшийся вайпером, распространяется через зараженный RAR-архив с PNG-файлом внутри. Если жертва распаковывает содержимое, на экране появляется сообщение об ошибке. Сама картинка отредактирована таким образом, что производит впечатление поврежденной. Все это лишь отвлекает внимание пользователя: открытие архива приводит к заражению.
Зловред полностью шифрует файлы на компьютере, и процесс занимает больше времени, чем у других вымогателей. По окончании работы JNEC.a показывает пользователю сообщение с требованием заплатить 0,05 BTC (около $200 по курсу на день публикации).
Эксперты отмечают оригинальный способ контакта, который изобрели операторы кампании. Зловред генерирует последовательность из букв и цифр и просит жертву зарегистрировать соответствующий почтовый адрес в сервисе Gmail. Предполагается, что после получения денег вымогатели отправят на этот ящик ключ для расшифровки.
На самом деле платить преступникам смысла нет, и в данном случае дело не в этической составляющей. Как пояснил эксперт Майкл Гиллеспи (Michael Gillespie), создатели JNEC.a «накосячили с применением ключей», сделав расшифровку невозможной.
Судя по балансу кошелька, который указан в требовании выкупа, на данный момент кампания не принесла организаторам прибыли. Последняя указанная в нем транзакция прошла в октябре 2018 года, а общий объем полученных средств составляет около $220.
Уязвимость CVE-2018-20250, на которой построена атака, позволяет злоумышленникам выгружать вредоносное ПО в произвольные папки на компьютерах жертв. По словам специалистов, которые обнаружили брешь в январе этого года, она присутствовала в коде WinRAR на протяжении 19 лет.
В настоящий момент для уязвимости есть два патча — один подготовили разработчики архиватора, второй выпустили специалисты сторонней ИБ?компании. Кроме того, проблему устранили в обновленном WinRAR 5.70.
В свою очередь, преступники создали уже более 100 эксплойтов на базе этой бреши. Все они появились в первую неделю после публикации PoC-кода и в большинстве своем применяются против пользователей в США.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |