WinRAR ransomware ontdekt

360 Threat Intelligence Center heeft via Twitter bekend gemaakt dat er ransomware ontdekt is voor een bekende beveiligingslek in archiveringssoftware WinRAR.

Hoe werkt de ransomware?

De ransomware komt verpakt in een .RAR bestand. Als het besmette .RAR bestand wordt uitgepakt door een verouderde WinRAR versie begint de ransomeware te werken. Als eerste maakt het gebruik van een kwetsbaarheid in een DLL-library waarmee WinRAR .ACE-bestanden uitpakt. Via het beveiligingslek is het mogelijk om kwaadaardige code in de Startup-map van Windows te plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd. In dit geval plaatsen de aanvallers het bestand "GoogleUpdate.exe" in de Startup-map. Hierdoor zouden gebruikers kunnen denken dat het om een updatetool van Google gaat.

Bij het herstarent van het systeem wordt de ransomware uitgevoerd. De ransomware versleuteld allerlei bestanden. Om de bestanden te ontsleutelen moet de gebruiker niet alleen een bedrag betalen van 175 euro, maar ook een Gmail-adres opgeven. De decryptiesleutel wordt volgens de ransomware-ontwikkelaar na betaling naar opgegeven Gmail-adres gestuurd.

WinRAR

WinRAR-gebruikers krijgen het dringende advies om naar versie 5.70 of nieuwer te updaten.

WinRAR ransomware ontdekt

Hoe werkt de ransomware?

WinRAR

Fingerprinting juist eenvoudiger door anti-fingerprinting, aldus onderzoeker

Software-updates SolarWinds door aanvallers voorzien van backdoor

Politieman verkocht voor 500 euro complete dossiers

Eén op de elf bedrijven betaalt losgeld bij het slachtoffer worden van ransomware

WinRAR ransomware ontdekt

Hoe werkt de ransomware?

WinRAR

More from this category

Fingerprinting juist eenvoudiger door anti-fingerprinting, aldus onderzoeker

Software-updates SolarWinds door aanvallers voorzien van backdoor

Politieman verkocht voor 500 euro complete dossiers

Eén op de elf bedrijven betaalt losgeld bij het slachtoffer worden van ransomware