Эксперты обнаружили первый зловред-вымогатель, который эксплуатирует обнаруженную в январе RCE-уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании.

Специалисты назвали свою находку JNEC.a. Вымогатель, оказавшийся вайпером, распространяется через зараженный RAR-архив с PNG-файлом внутри. Если жертва распаковывает содержимое, на экране появляется сообщение об ошибке. Сама картинка отредактирована таким образом, что производит впечатление поврежденной. Все это лишь отвлекает внимание пользователя: открытие архива приводит к заражению.

Зловред полностью шифрует файлы на компьютере, и процесс занимает больше времени, чем у других вымогателей. По окончании работы JNEC.a показывает пользователю сообщение с требованием заплатить 0,05 BTC (около $200 по курсу на день публикации).

Эксперты отмечают оригинальный способ контакта, который изобрели операторы кампании. Зловред генерирует последовательность из букв и цифр и просит жертву зарегистрировать соответствующий почтовый адрес в сервисе Gmail. Предполагается, что после получения денег вымогатели отправят на этот ящик ключ для расшифровки.

На самом деле платить преступникам смысла нет, и в данном случае дело не в этической составляющей. Как пояснил эксперт Майкл Гиллеспи (Michael Gillespie), создатели JNEC.a «накосячили с применением ключей», сделав расшифровку невозможной.

Судя по балансу кошелька, который указан в требовании выкупа, на данный момент кампания не принесла организаторам прибыли. Последняя указанная в нем транзакция прошла в октябре 2018 года, а общий объем полученных средств составляет около $220.

Уязвимость CVE-2018-20250, на которой построена атака, позволяет злоумышленникам выгружать вредоносное ПО в произвольные папки на компьютерах жертв. По словам специалистов, которые обнаружили брешь в январе этого года, она присутствовала в коде WinRAR на протяжении 19 лет.

В настоящий момент для уязвимости есть два патча — один подготовили разработчики архиватора, второй выпустили специалисты сторонней ИБ‑компании. Кроме того, проблему устранили в обновленном WinRAR 5.70.

В свою очередь, преступники создали уже более 100 эксплойтов на базе этой бреши. Все они появились в первую неделю после публикации PoC-кода и в большинстве своем применяются против пользователей в США.

Категории: Вредоносные программы, Уязвимости