是的……还是勒索软件

释放双眼,带上耳机,听听看~!

点击上方“凌天实验室”可订阅哦!

这是首个利用WinRAR Ace漏洞传播的勒索软件。


一个名为JNEC.a的新勒索软件通过对 WinRAR中最近报告的代码执行ACE漏洞的漏洞进行传播。加密计算机后,它会生成一个受害者需要创建的Gmail地址,以便在他们支付赎金后接收文件解密密钥。

执行后,勒索软件会加密计算机上的数据,并将.Jnec扩展名附加到文件的原始扩展名。解密密钥的价格是0.05比特币(约200美元)。

有趣的是,恶意软件作者选择了一种不寻常的方法来传递文件解密密钥。每个受影响的计算机的唯一ID号代表用于传递密钥的Gmail地址。

虽然地址在赎金票据中可用,但尚未注册。如果他们想要在支付赎金后恢复他们的档案,这项任务就落在了受害者的手中。

为了确保受害者了解他们如何恢复数据,恶意软件作者还提供了有关创建特定Gmail地址的明确说明; 这些是在JNEC.README.TXT赎金中提供的,即勒索软件会在受感染的计算机上丢失。

警告!!!
首个利用WinRAR漏洞(CVE-2018-20250[4])传播未知恶意勒索软件的ACE文件[1]。该恶意压缩文件名为vk_4221345.rar。攻击者通过嵌入看似破损并不完整的女性图片诱使受害者解压缩档案。它使用.Jnec扩展名重命名文件。https://t.co/MHNgHw7zAI pic.twitter.com/Tn5SoXht2A

该恶意压缩文件包含一张图片,当在WinRAR中双击打开后会看到一张看似破损并不完整的女性图片:

并且还会弹出疑似图片解压错误的提示框,而该解压出错提示框疑为攻击者故意为之,压缩包的CRC校验值疑似攻击者故意修改以致打开压缩包中的图片文件后会弹出错误框,以此来诱导用户通过解压后查看图片文件:


错误提示看起来就像是一个故障,因此用户也不会产生过多的怀疑。但是,勒索软件已经释放到用户启动目录中。

WinRAR漏洞将恶意软件存储到Windows Startup文件夹中,并会在下次登录时部署。

为了隐藏它的存在,作者将其命名为“GoogleUpdate.exe”,因此很容易将其误认为是谷歌的更新过程。

利用WinRAR漏洞并不困难。在Check Point发布他们对该漏洞的分析后,概念验证代码  在网上出现。很快,GitHub上出现了一个自动创建具有任意有效负载的恶意存档的脚本。

上周,迈克菲报告称,在漏洞发布后的一周内,发现了100多个独特漏洞,并且数量不断增加。

在撰写本文时,29个防病毒引擎将JNEC.a视为威胁。勒索软件完整地加密文件,这可能是我们在测试期间看到它移动缓慢的原因。

支付赎金的比特币钱包显示了12笔交易,但似乎没有任何一笔交易来自受害者,因为最近的收款是从2018年10月开始。在写入时,余额为0.05738157 BTC,折合为229美元。

Michael Gillespie  对此勒索软件进行了分析,  并确定由于一个错误,开发人员甚至无法解密此勒索软件。


缓解措施


1、软件厂商已经发布了最新的WinRAR版本,建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32 位:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64 位:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe


2、如暂时无法安装补丁,可以直接删除漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

更新:19/3/18


凌天
实验室

凌天实验室,是安百科技旗下针对应用安全领域进行攻防研究的专业技术团队,其核心成员来自原乌云创始团队及社区知名白帽子,团队专业性强、技术层次高且富有实战经验。实验室成立于2016年,发展至今团队成员已达35人,在应用安全领域深耕不辍,向网络安全行业顶尖水平攻防技术团队的方向夯实迈进。

本文源自微信公众号:凌天实验室

人已赞赏
安全工具

预警||远程桌面服务中修补新的高危漏洞(CVE-2019-1181 / 1182)

2019-10-14 14:03:37

安全工具

“侠盗病毒”肆虐中国,已攻击上千台电脑

2019-10-14 14:03:44

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索