Nie musieliśmy czekać na to zbyt długo. Niedługo po tym, jak w popularnym programie archiwizującym WinRAR znaleziono podatność wynikającą z błędu w bibliotece dedykowanej obsłudze plików ACE, doczekaliśmy się cyberzagrożeń, które rozprzestrzeniają się wykorzystując tę lukę. Obecnie, najniebezpieczniejszym zagrożeniem z tego grona jest z całą pewnością JNEC.a.
JNEC.a jest nowym zagrożeniem typu ransomware, które żeruje głównie na podatności w archiwizerze WinRAR. Cyberprzestępcy wychodzą z założenia, że mało kto zainstalował aktualizację dla tego programu lub zabezpieczył się wyrzucając bibliotekę obsługującą ACE z folderu instalacyjnego. Sam WinRAR nie oferuje żadnego automatycznego mechanizmu uaktualnień przez co niektórzy użytkownicy rzeczywiście mogą nie zdawać sobie sprawy z tego, że aktualnie pracują z potencjalnie niebezpiecznym programem.
Przypomnijmy, w związku z błędem w programie WinRAR możliwe było podniesienie uprawnień i umieszczenie dowolnego pliku w folderze Startup systemu Windows. To zaś prosta droga do wprowadzenia cyberzagrożenia, które aktywuje się w momencie ponownego startu systemu operacyjnego:
Błąd bezpieczeństwa, który dotyczy programu WinRAR nie wynika z niechęci użytkowników aplikacji do zapłacenia jej twórcy. Wiadomo jednak, że w ciągu niemal dwóch dekad, WinRAR wystawił na niebezpieczeństwo około 500 mln użytkowników, którzy z niego korzystali na przestrzeni tego czasu. Błąd bezpieczeństwa bezpośrednio dotyczy pliku UNACEV2.dll (biblioteki programu WinRAR), która nie była używana już od około 2005 roku, aczkolwiek dalej była częścią oprogramowania. Za pomocą luki możliwe było umieszczenie złośliwego pliku bezpośrednio w folderze Startup, istotnego dla systemu Windows bez podniesionych uprawnień.
Wpis, w którym ostrzegaliśmy o błędzie w programie WinRAR
Cyberprzestępcy dystrybuują plik vk_4221345.rar w internecie, który zawiera w sobie grafikę oraz JNEC.a. Materiał graficzny ma przedstawiać kobietę, jednak zdaje się być uszkodzony. To umyślna praktyka, która ma na celu utwierdzenie użytkownika w przekonaniu, że wszystko jest w porządku, a pliki są bezpieczne. W tym samym momencie, po uruchomieniu archiwum w folderze Startups tworzony jest plik "GoogleUpdate.exe", w którym kryje się cybezagrożenie.
Warning!!!Possibly the first #ransomware (vk_4221345.rar) spread by #WinRAR exploit (#CVE-2018-20250). The attacker lures victims to decompress the archive through embedding a corrupt and incomplete female picture. It renames files with .Jnec extension.https://t.co/MHNgHw7zAI pic.twitter.com/Tn5SoXht2A
— 360 Threat Intelligence Center (@360TIC) 18 marca 2019
JNEC.a jest nowym zagrożeniem typu ransomware, które żeruje głównie na podatności w archiwizerze WinRAR. Cyberprzestępcy wychodzą z założenia, że mało kto zainstalował aktualizację dla tego programu lub zabezpieczył się wyrzucając bibliotekę obsługującą ACE z folderu instalacyjnego. Sam WinRAR nie oferuje żadnego automatycznego mechanizmu uaktualnień przez co niektórzy użytkownicy rzeczywiście mogą nie zdawać sobie sprawy z tego, że aktualnie pracują z potencjalnie niebezpiecznym programem.
Przypomnijmy, w związku z błędem w programie WinRAR możliwe było podniesienie uprawnień i umieszczenie dowolnego pliku w folderze Startup systemu Windows. To zaś prosta droga do wprowadzenia cyberzagrożenia, które aktywuje się w momencie ponownego startu systemu operacyjnego:
Błąd bezpieczeństwa, który dotyczy programu WinRAR nie wynika z niechęci użytkowników aplikacji do zapłacenia jej twórcy. Wiadomo jednak, że w ciągu niemal dwóch dekad, WinRAR wystawił na niebezpieczeństwo około 500 mln użytkowników, którzy z niego korzystali na przestrzeni tego czasu. Błąd bezpieczeństwa bezpośrednio dotyczy pliku UNACEV2.dll (biblioteki programu WinRAR), która nie była używana już od około 2005 roku, aczkolwiek dalej była częścią oprogramowania. Za pomocą luki możliwe było umieszczenie złośliwego pliku bezpośrednio w folderze Startup, istotnego dla systemu Windows bez podniesionych uprawnień.
Wpis, w którym ostrzegaliśmy o błędzie w programie WinRAR
Cyberprzestępcy dystrybuują plik vk_4221345.rar w internecie, który zawiera w sobie grafikę oraz JNEC.a. Materiał graficzny ma przedstawiać kobietę, jednak zdaje się być uszkodzony. To umyślna praktyka, która ma na celu utwierdzenie użytkownika w przekonaniu, że wszystko jest w porządku, a pliki są bezpieczne. W tym samym momencie, po uruchomieniu archiwum w folderze Startups tworzony jest plik "GoogleUpdate.exe", w którym kryje się cybezagrożenie.
Warning!!!Possibly the first #ransomware (vk_4221345.rar) spread by #WinRAR exploit (#CVE-2018-20250). The attacker lures victims to decompress the archive through embedding a corrupt and incomplete female picture. It renames files with .Jnec extension.https://t.co/MHNgHw7zAI pic.twitter.com/Tn5SoXht2A
— 360 Threat Intelligence Center (@360TIC) 18 marca 2019
Po uruchomieniu zagrożenia, to zaczyna szyfrować dane na dysku (robi to jednak bardzo powoli). Ponadto, wyświetlane są informacje na temat adresu e-mail jaki należy stworzyć aby otrzymać klucz deszyfrujący (w usłudze Gmail). Podobnie, wyświetlany jest adres BTC do płatności oraz kwota jaką należy uiścić (0.05 BTC - około 200 dolarów).
Adres BTC, który służy cyberprzestępcom do zbierania okupów wskazuje obecnie na 12 transakcji, z czego ostatnia odbyła się 15 października 2018 roku, czyli całkiem dawno. Nie ma natomiast żadnych dowodów na to, że ktokolwiek zapłacił okup. Nie oznacza to jednak, że przez to JNEC.a jest mniej niebezpieczny: wręcz przeciwnie. Zagrożenie jest realne i niestety, ale w tym przypadku zakłada się, że dane są szyfrowane bezpowrotnie. (to zdrowe założenie w przypadku programów typu ransomware: róbmy backupy i nie dawajmy się wciągnąć w negocjacje).
Większość programów antywirusowych rozpoznaje to zagrożenie i nie pozwala mu na zainfekowanie komputera. Najbezpieczniej jest jednak zaktualizować program WinRAR, co możecie zrobić tutaj - wersja 5.70 jest już wolna od błędu, który pozwala na umieszczenie dowolnego pliku w folderze Startups systemu Windows.
Po uruchomieniu zagrożenia, to zaczyna szyfrować dane na dysku (robi to jednak bardzo powoli). Ponadto, wyświetlane są informacje na temat adresu e-mail jaki należy stworzyć aby otrzymać klucz deszyfrujący (w usłudze Gmail). Podobnie, wyświetlany jest adres BTC do płatności oraz kwota jaką należy uiścić (0.05 BTC - około 200 dolarów).
Adres BTC, który służy cyberprzestępcom do zbierania okupów wskazuje obecnie na 12 transakcji, z czego ostatnia odbyła się 15 października 2018 roku, czyli całkiem dawno. Nie ma natomiast żadnych dowodów na to, że ktokolwiek zapłacił okup. Nie oznacza to jednak, że przez to JNEC.a jest mniej niebezpieczny: wręcz przeciwnie. Zagrożenie jest realne i niestety, ale w tym przypadku zakłada się, że dane są szyfrowane bezpowrotnie. (to zdrowe założenie w przypadku programów typu ransomware: róbmy backupy i nie dawajmy się wciągnąć w negocjacje).
Większość programów antywirusowych rozpoznaje to zagrożenie i nie pozwala mu na zainfekowanie komputera. Najbezpieczniej jest jednak zaktualizować program WinRAR, co możecie zrobić tutaj - wersja 5.70 jest już wolna od błędu, który pozwala na umieszczenie dowolnego pliku w folderze Startups systemu Windows.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
