Un nuovo ransomware chiamato JNEC.c ha iniziato a diffondersi sfruttando la recente vulnerabilità scoperta in WinRar dagli analisti di sicurezza di CheckPoint e che, a quanto pare, è presente in tutte le versioni del noto gestore di archivi compressi da 19 anni a questa parte.
Sfruttando un bug di un’altra famosa applicazione, JNEC.c riesce così a garantirsi una notevole diffusione senza che i criminal hacker siano costretti ad investire notevoli somme di denaro per pianificare massicce campagne di malspam e phishing come è invece avvenuto finora con altri ransomware.
In particolare, la vulnerabilità CVE-2018-20250 sfruttata da JNEC.c è di tipo code injection e riguarda la libreria UNACEV2.DLL di WinRar per la gestione dei file compressi in formato ACE. Sfruttandola, il nuovo ransomware riesce ad eseguire codice arbitrario da remoto sui computer compromessi.
La vulnerabilità di WinRar è stata già patchata, ma chiaramente il gruppo di criminal hacker che ha creato JNEC.c confida nel fatto che solo pochi utenti provvederanno ad aggiornare la propria copia del gestore di archivi compressi.
Indice degli argomenti
Ransomware JNEC.c: analisi tecnica
Il payload del ransomware JNEC.c viene distribuito all’interno dell’archivio compresso vk_422131345.rar contenente un’immagine femminile corrotta e incompleta. In realtà, mentre la vittima prova a visualizzare la foto, JNEC.c si attiva e inizia il suo processo di crittografia dei file e successivo blocco del computer.
A differenza di altri ransomware, gli autori del nuovo malware JNEC.c hanno scelto un metodo di consegna della chiave di decodifica dei file molto insolito: nel messaggio che informa la povera vittima del fatto che i suoi file e il computer sono stati, di fatto, “sequestrati” viene indicato un indirizzo di posta elettronica Gmail (generato usando l’ID unico che identifica il computer compromesso) che le vittime devono utilizzare per richiedere la chiave di decifratura dopo aver pagato il riscatto.
La particolarità è che la corrispondente casella di posta è inesistente ed è la vittima a doverla creare. I criminal hacker hanno anche provveduto a indicare le istruzioni passo passo per la creazione di un account Gmail, riportandole nella nota di riscatto contenuta nel file di testo JNEC.README.TXT.
La stessa nota di riscatto contiene anche alcune informazioni dettagliate sul numero di file criptati nel sistema e sulla richiesta di riscatto, che deve essere pagata tramite Bitcoin: per l’esattezza, i criminal hacker richiedono un pagamento di 0,05738157 BTC equivalenti, al cambio attuale, a circa 229 dollari americani.
Sfruttando la vulnerabilità presente in WinRar, JNEC.c riesce a creare una copia di sé stesso all’interno della cartella di avvio di Windows, in modo da garantirsi l’esecuzione automatica non appena la vittima esegue un nuovo login al sistema.
Per nascondere la sua presenza, inoltre, l’eseguibile del ransomware si rinomina in GoogleUpdate.exe per essere facilmente scambiato con il processo di aggiornamento automatico di Google.
JNEC.c: i consigli per difendersi dal ransomware
Per difendersi dal nuovo ransomware JNEC.c è necessario seguire alcune semplici regole di sicurezza informatica:
- innanzitutto, occorre aggiornare sempre sia l’antivirus sia il sistema operativo. La prevenzione, infatti, è la miglior protezione da questa tipologia di minaccia informatica;
- è importante eseguire periodicamente un backup dei dati in un hard disk esterno, ma va bene anche una chiavetta USB. In questo modo, se il ransomware dovesse infettare il PC, una copia dei dati rimarrebbe protetta, dando l’opportunità di ripristinarli all’occorrenza;
- non bisogna mai aprire allegati sospetti contenuti in messaggi di posta elettronica ricevuti da mittenti sospetti;
- non aprire gli allegati finché non si conferma l’identità della persona che li ha effettivamente inviati;
- effettuare una scansione degli allegati con l’antivirus o con strumenti on-line tipo VirusTotal;
- utilizzare sempre password robuste (quindi composte da almeno 16 caratteri alfanumerici e contenenti anche punteggiatura e caratteri speciali) e mai la stessa per accedere alla propria macchina, alla rete locale o ai vari servizi on-line.
Senza dimenticare, ovviamente, di aggiornare WinRar all’ultima versione disponibile nella quale è stata corretta la vulnerabilità nella libreria UNACEV2.DLL.
