ESET alerta para casos de ransomware usando bug encontrado no WinRAR

Uma falha do WinRAR revelada neste mês vem sendo usada por hackers para a execução de uma campanha de ransomware, segundo alerta da empresa de segurança ESET. O bug, presente nas versões anteriores à 5.70, vinha de uma ferramenta interna de descompactação que não recebia atualizações há quase 20 anos. A RAR Labs, entidade que gerencia a disponibilidade do WinRAR, já lançou atualização de corrige a falha, mas aparentemente, muitos usuários ainda estão rodando versões antigas e, dessa maneira, ficando expostos a atividades maliciosas.

O ataque da vez é disfarçado em um arquivo bastante similar a pacotes de extensão “.rar” normais, e aparenta ter em seu conteúdo apenas um arquivo de foto comum. Entretanto, basta uma olhada mais detalhada e é possível perceber que o arquivo compactado faz uma referência ao drive C:/ — a principal repartição do sistema operacional.

Uma vez descompactado, o usuário que tenta acessar a tal foto recebe a mensagem de que o arquivo está corrompido. Porém, sem que ele saiba, um executável se instala em segundo plano, dentro da pasta de inicialização do Windows. A partir daqui, cada vez que o usuário reinicia a máquina, esse executável entra em ação, criptografando todos os arquivos do sistema com a extensão “.jnec” e pedindo a transferência de 0,05 bitcoins (aproximadamente US$ 200) para fornecer as instruções de como liberar o acesso à própria máquina.

Segundo o pesquisador de segurança Michael Gillespie, que analisou o ransomware JNEC.A, por uma falha em seu código nem mesmo o autor de um ataque que o envolva poderia descriptografar o material travado.

Por isso, as recomendações são pela tomada de medidas que evitem o ataque preventivamente:

• Mantenha ativos todos os filtros de segurança para acesso web e recebimento de e-mails;
• Utilize soluções de segurança que protejam o computador de forma mais abrangente e, se possível, que sejam mais robustas que as soluções baseadas apenas em antivírus;
• Não baixe anexos ou acesse links suspeitos, enviados por uma fonte desconhecida ou pouco confiável;
• Mantenha todos os softwares atualizados. Softwares de segurança atualizados auxiliam na proteção do dispositivo e podem evitar esse tipo de ataque;
• Sempre que possível, crie uma cópia de segurança (backup) dos arquivos mais importantes presentes no dispositivo. Em caso de defeito no equipamento, ter uma cópia dos dados em um local seguro garante que as informações não sejam perdidas,
• Nunca, em hipótese alguma, pague o resgate. Quem paga o resgate estimula que os criminosos continuem suas atividades.

Lembre-se que não é possível garantir que, após o pagamento, os dados sejam realmente restaurados, então todo o cuidado é pouco.