Μετά την ανακάλυψη της ευπάθειας WinRAR, έρχεται στο φως και ένα νέο ransomware, το οποίο εκμεταλλεύεται την εν λόγω ευπάθεια για να εξαπλωθεί σε υπολογιστές Windows, ζητώντας λύτρα από τους ιδιοκτήτες τους.
Πιο συγκεκριμένα, το νέο αυτό ransomware, χρησιμοποιεί μία ευπάθεια που ανακαλύφθηκε μόλις πρόσφατα από τους ερευνητές ασφαλείας, στο WinRAR ACE code, παρά το γεγονός ότι υφίσταται τα τελευταία 19 χρόνια. Η βιβλιοθήκη WinRAR UNACEV2.DLL είναι αυτή που επηρεάζεται.
Το WinRAR είναι το πιο δημοφιλές εργαλείο συμπίεσης αρχείων παγκοσμίως, το οποίο χρησιμοποιείται από πάνω από 500 εκατομμύρια χρήστες.
Από τη στιγμή που ανακαλύφθηκε, η ευπάθεια επιδιορθώθηκε. Ωστόσο οι hackers συνεχίζουν και εκμεταλλεύονται τρωτά σημεία, σε συστήματα που δεν έχουν ενημερωθεί με το ανάλογο patch.
Το payload του JNEC.a Ransomware, είναι αποθηκευμένο στο RAR file archive. Μόλις το θύμα κάνει αποσυμπίεση του αρχείου, ανοίγει μια κατεστραμμένη γυναικεία εικόνα. Με τον τρόπο αυτό, το JNEC.a Ransomware εισέρχεται στο σύστημα του θύματος και ξεκινά τη διαδικασία κρυπτογράφησης των αρχείων και κλειδώματος του συστήματος.
Προκείμενου οι χρήστες να αποκτήσουν το κλειδί αποκρυπτογράφησης που θα ξεμπλοκάρει τα αρχεία τους, πρέπει να καταβάλουν το ποσό που τους ζητείται σε ένα email ID που τους παρέχεται από τους hackers.
Η ανακάλυψη ενός δείγματος του JNEC.a Ransomware με το όνομα (vk_4221345.rar), έγινε από τους ερευνητές του 360 Threat Intelligence Center, οι οποίοι και επιβεβαίωσαν ότι το ransomware εξαπλώθηκε από την ευπάθεια στο WinRAR (# CVE-2018-20250).
Μόλις το ransomware εγκατασταθεί με επιτυχία, αρχίζει να κλειδώνει τα αρχεία στον υπολογιστή του θύματος και εμφανίζει ένα μήνυμα στο οποίο ζητάει λύτρα σε bitcoin και παρουσιάζει τα βήματα που πρέπει να ακολουθήσει ο χρήστης για την απόκτηση του κλειδιού αποκρυπτογράφησης.
Σε αυτήν την περίπτωση, τα θύματα πρέπει να δημιουργήσουν ένα συγκεκριμένο mailbox για το Gmail ID, ώστε να μπορέσουν να λάβουν το κλειδί αποκρυπτογράφησης.
Οι επιτιθέμενοι απαιτούν 0,05 BTC ($ 198 USD) από κάθε θύμα του JNEC.a Ransomware και θα επικοινωνήσουν μαζί τους μόλις λάβουν την πληρωμή.
Όλοι οι χρήστες του WinRAR συνιστάται να ενημερώσουν στην τρέχουσα έκδοση, WinRAR 5.70 για να είναι ασφαλείς από τέτοιες επιθέσεις και επίσης πρέπει να αποφεύγουν να ανοίγουν άγνωστα αρχεία.
