Кампания по распространению шифровальщика Unnam3d R@nsomware зафиксирована экспертами портала BleepingComputer. Зловред использует утилиту WinRAR, чтобы переместить файлы жертвы в архив, защищенный паролем, и требует за восстановление информации подарочную карту Amazon на сумму $50. ИБ-специалисты утверждают, что существует возможность раскодировать данные, не оплачивая выкуп.

Как сообщили журналисты издания, новое вымогательское ПО распространяется через спам, имитирующий уведомление о необходимости обновить Adobe Flash Player. Попав на целевой компьютер, вредоносная программа копирует исполняемый файл WinRAR в каталог %Temp% и перемещает файлы из папок «Документы», «Изображения» и «Рабочий стол» в индивидуальные архивы, защищенные паролем.

После окончания архивирования на экране появляется сообщение с требованием выкупа. Киберпреступник предлагает связаться с ним при помощи мессенджера Discord и в качестве выкупа выслать код подарочной карты на $50 для покупок в интернет-магазине Amazon. Вступив в переписку с автором вредоноса, специалисты выяснили, что он не планирует пользоваться сертификатами и собирается их перепродать.

В беседе с журналистами злоумышленник заявил, что в рамках этой кампании за три дня разослал около 30 тыс. писем с полезной нагрузкой. Как оказалось, создатель Unnam3d R@nsomware также причастен к разработке программ для DDoS-атак, приложения для перехвата данных из буфера обмена и другого вредоносного ПО.

Согласно пояснению на сайте разработчика, архивы WinRAR не хранят пароли, а используют их в качестве одной из переменных алгоритма сжатия и шифрования файлов. Поэтому для их восстановления неэффективны любые методы взлома, кроме брутфорс-атаки. К счастью, в Интернете можно найти утилиты для подбора паролей к таким архивам, поэтому жертвы Unnam3d R@nsomware могут вернуть свои данные, не оплачивая выкуп.

В феврале 2018 года в WinRAR была найдена 19-летняя уязвимость, которая позволяет втайне от пользователя распаковывать файлы определенного формата в произвольный каталог. Брешь сразу же взяли на вооружение злоумышленники — распространяемый с ее помощью вредонос JNEC.a шифровал данные жертв и требовал 0,05 биткойна за восстановление информации. К сожалению, создатели программы допустили ошибку в коде, что сделало возврат файлов невозможным.

Категории: Аналитика, Вредоносные программы, Спам