В края на миналия месец ви разказахме за сериозна уязвимост в популярния архиватор WinRAR, свързан с възможността за изпълнение на случаен код и пълното превземане на системата. Киберпрестъпниците се възползват от недобрата информираност на потребителите и атаките, свързани с въпросната слабост вече започнаха, а последната такава е свързана с доставянето на рансъмуер.

Става дума за нов тип заплаха с името JNEC.а. След инсталацията, си JNEC генерира имейл адрес в GMail, който потребителят трябва да създаде, за да получи файла на декриптиращия ключ. При криптиране на информацията, JNEC поставя като разширение на заключените файлове .Jnec, а исканият откуп е в размер на 0.05 биткойна. Любопитният момент за специалистите тук е методът, който създателите на кампанията избират за доставяне на ключа – споменатото генериране на случаен имейл адрес, който трябва да бъде създаден от жертвата. Идентификационния номер на машината, който престъпниците генерират за всяка една машина, станала жертва на атаката, представлява и адрес на пощата.

Първите, натъкнали се на атаката са хората от Qihoo 360 Threat Intelligence Center. Една от зловредните проби представлявала архив с името vk_4221345.rar, който доставя рансъмуера при извличане на съдържанието, но с уязвима версия на WinRAR (под 5.70). В него се съдържа снимка на момиче. При опит за преглед, пред потребителят се показва съобщение за грешка и това, което изглежда като повредена снимка. Това е знак, че инфектирането е стартирало, обясняват от Bleeping Computer.