В феврале 2019 года специалисты Check Point сообщили о серьезной уязвимости в WinRAR, которая оставалась без внимания 19 лет, и продемонстрировали ее эксплуатацию.

Проблему устранили с релизом WinRAR 5.70 Beta 1 в январе текущего года. Разработчики приняли решение убрать библиотеку для работы с форматом ACE, так как исходные тексты этой библиотеки были утрачены, и справить уязвимость уже не представлялось возможным. Тем не менее, первые атаки на уязвимость были замечены экспертами уже в феврале, а на прошлой неделе стало известно, что для бага появилось уже более 100 разных эксплоитов.

Специалисты 360 Threat Intelligence Center зафиксировали появление нового вируса-шифровальщика JNEC.a, который написан на .NET, и использующего для проникновения на компьютер уязвимость WinRAR.

В своем сообщении исследователи пишут, что атакующие обманом вынуждают своих жертв распаковать вредоносный архив, из-за чего вирус-шифровальщик проникает в директорию Startup профиля текущего пользователя и начинает работу при следующем входе пользователя в систему. Шифровальщик маскируется под файл GoogleUpdate.exe, который легко спутать с настоящим средством обновления Google.

Интересной особенностью JNEC.a является механизм, с помощью которого жертвы должны оплачивать выкуп и связываться со злоумышленниками - жертва должна создать на Gmail ящик с определенным уникальным адресом (указан в требовании вируса-шифровальщика JNEC.a) и перевести 0.05 BTC (около 200 долларов США) на кошелек кибер-преступников, после чего жертве на ранее созданный специальный почтовый адрес пришлют ключ дешифрования.

JNEC.a alert

В настоящее время, согласно отчету VirusTotal, только 34 защитных продукта идентифицируют вирус-шифровальщик JNEC.a как угрозу.

Эксперт по информационной безопасности Майкл Гиллеспи (Michael Gillespie), проанализировав код вируса JNEC.a, пришел к выводу, что из-за допущенной разработчиками вируса ошибки, зашифрованная малварью информация не подлежит восстановлению даже после уплаты выкупа кибер-преступникам.

Для защиты данных эксперты рекомендуют выполнять следующие простые требования безопасности: пользоваться антивирусами с актуальной базой, вовремя устанавливать обновления операционной системы и важных программ, а также обязательно делать резервные копии данных.

Резервирование информации должно выполняться регулярно и в автоматическом режиме без привлечения пользователей и администраторов. Бакапы лучше всего хранить одновременно в нескольких местах и, как минимум, одну резервную копию лучше всего хранить в облачном хранилище.

Сервис облачного резервирования BACKUPRENT поможет вам правильно организовать процесс резервирования данных, строго следуя правилу 3-2-1 и разместит бэкапы в надежном специализированном облачном хранилище.

Мы уже выделили для вас 500 Гб в облачном хранилище на пробный бесплатный 30-дневный период. Подайте заявку на пробный доступ прямо сейчас и защитите критически важные данные вашей компании от сбоев и вирусов-шифровальщиков.

Помните, что в случае выполнения условий вымогателей и оплате выкупа за расшифровку данных, вы финансируете кибер-преступность и ее развитие!