JNEC.a: El nuevo ransomware que se aprovecha de la vulnerabilidad de la librería UNACEV2.DLL de WinRAR

#1

JNEC.a: El nuevo ransomware que se aprovecha de la vulnerabilidad de la librería UNACEV2.DLL de WinRAR y de otros compresores

Se ha detectado un nuevo ransomware llamado JNEC.a, el cual se propaga a través de un exploit diseñado para explotar una vulnerabilidad en la librería UNACEV2.DLL que fué recientemente reportada, la cual afecta a todos los compresores de archivos diseñados para descomprimir archivos ACE (entre los cuales, se incluye al popular compresor de archivos WinRAR).

El ransomware cifra todos los datos alojados en la computadora, agregándole la extensión Jnec.a a la extensión original del archivo. El precio de la clave de descifrado es de 0.05 bitcoins (alrededor de US$ 200).

Lo interesante de éste malware, es que el autor del mismo eligió un método inusual para entregar las claves de descifrado de archivos el que consiste en un número de identificación único para cada computadora afectada y que representa una dirección de Gmail diseñada para la entrega de la clave de cifrado.

Aunque la dirección está disponible en la nota de rescate, ésta aún no está registrada. Esta tarea cae en manos de la propia víctima, en el caso si éstos desean recuperar sus archivos después de pagar el rescate.

Solo para asegurarse de que las víctimas comprendan cómo pueden recuperar sus datos, el autor del malware también proporciona instrucciones claras sobre cómo crear una dirección de Gmail específica; estos están disponibles en una nota de rescate (JNEC.README.TXT) que el ransomware crea en la computadora infectada.

Investigadores en el Centro de Inteligencia de Amenazas Qihoo 360 detectaron que un archivo llamado “vk_4221345.rar” ,es el que instala el ransomware JNEC.a cuando éste se extrae con una versión vulnerable de WinRAR o de cualquier programa compresor que utilice la librería afectada. Actualmente, la versión 5.70 de WinRAR (el programa afectado con la vulnerabilidad más conocido), ya elimina ésta falla de seguridad al no incluir soporte para archivos *.ACE.

JNEC.a está escrito en .NET y su instalación comienza con la extracción del contenido del archivo comprimido manipulado. Dicho archivo, el cual contiene una imagen corrupta de una mujer,cuando se descomprime, se produce un error al llevar a cabo la descompresión y muestra la siguiente imagen incompleta.

El error y el fragmento de la imagen hacen que todo parezca un fallo técnico, por lo que el usuario no le dará otra idea del problema. Sin embargo, el ransomware ya está instalado en el sistema.

El exploit de la librería utilizada por WinRAR (entre otros programas) para descomprimir los archivos *.ace ,permite al autor colocar el malware en la carpeta de inicio de Windows, por lo que su instalación se llevará a cabo en el siguiente inicio de sesión.

Para ocultar su presencia, el autor denominó al archivo como “GoogleUpdate.exe”, por lo que se confunde fácilmente con el nombre del archivo que ejecuta el proceso de actualización incluídos en los programas de Google.

La explotación de la vulnerabilidad de UNACEV2.DLL no es difícil. Después de que Check Point publicó su análisis de la falla, surgió en línea el código de prueba de concepto . Inmediatamente después, un script apareció en GitHub, el cual automatizó la creación de un archivo malicioso con cargas útiles arbitrarias.

La semana pasada, McAfee informó que, en la semana posterior a la divulgación de la vulnerabilidad, se identificaron más de 100 ataques únicos y el número siguió creciendo.

Al momento de escribir, 29 antivirus detectan JNEC.a como amenaza . El ransomware cifra los archivos en su totalidad, lo que podría ser la razón por la que lo vimos moverse lentamente durante nuestras pruebas.

La cartera de bitcoin que paga el rescate muestra 12 transacciones, pero no parece que ninguna de ellas sea de una víctima, ya que el pago recibido más reciente es de octubre de 2018. Al momento de escribir, el saldo es 0.05738157 BTC, que se convierte a US$ 229.

Actualización 18/03/2019:

Este ransomware ha sido analizado por Michael Gillespie y se determinó que, debido a un error, ni el desarrollador podría descifrar este ransomware.

Fuente: Bleeping Computer

Nota del redactor: Se cambiaron algunas referencias a WinRAR de la publicación original debido a que ésta es una vulnerabilidad que afecta a una librería desarrollada por terceros (UNACEV2.DLL) utilizada por dicho programa compresor y que puede corregirse eliminando dicha librería del sistema o actualizando el programa (opción recomendada). Dicho fichero se puede encontrar el la siguiente carpeta: %PROGRAMFILES%/WinRAR o en %PROGRAMFILES%/WinRAR/Formats

5 me gusta