BeTech: noticias de tecnología

MALWARE

Nuevo virus ransomware que secuestra el PC por culpa de Winrar: 175€ para liberarlo

Nuevo virus ransomware que secuestra el PC por culpa de Winrar: 175€ para liberarlo

El fallo de seguridad de hace 20 años no se ha parcheado, y un grupo de hackers lo ha aprovechado.

Hace cosa de un mes y algo os contamos que unos investigadores habían descubierto una vulnerabilidad en WinRAR, el veterano programa de compresión y descompresión de archivos estrenado en 1995. Una vulnerabilidad es un bug o fallo que pone en peligro el PC en el que se esté usando, ya que permite ser usado cuando sin querer abrimos un archivo con código malicioso. Y la de Winrar llevaba prácticamente 20 años activa sin poder solucionarse.

Una vulnerabilidad sin solución

Localizado en una librería Third Party llamada unacev2.dll, una librería usada para descomprimir archivos ACE y que se trata de un formato de compresión poco usado que data de la década de los 90, el bug permite a un hacker que pueda ejecutar un código arbitrario en un PC en el que estemos usando WinRAR para descomprimir un archivo con código malicioso. El fallo, conocido como Absolute Path Traversal, no se soluciona simplemente borrando algo comprimido que vemos que está en ACE, ya que dado que WinRAR detecta el formato de un archivo comprimido basándose en su contenido y no su extensión, basta con que el atacante modifique el archivo comprimido y cambie su extensión de .ACE a .RAR para engañarnos.

Lo más curioso de esto y preocupante a la vez, es que el fallo de seguridad tiene mínimo 14 años, y podría alcanzar incluso los 20 años. O sea, media vida usando WinRAR sin saber que tenía un bug de seguridad. La solución no ha sido nada sencilla, ya que no bastaba un simple parche. La librería unacev2.dll lleva en WinRAR desde 2005, pero la compañía no ha podido parchearla porque básicamente han perdido su código fuente original. La solución a la vulnerabilidad ha tenido que ser radical: eliminar la librería por completo de las nuevas versiones de WinRAR al no poder arreglarla. Por ello, desde la versión 5.70 beta 1 de WinRAR ya no ni rastro de la UNACEV2.dll.

JNEC, el ransomware surgido de Winrar

Al parecer, y aunque en teoría el fallo está solucionado, esta vulnerabilidad ha sido ahora utilizada por un grupo de cibercriminales para difundir un virus de tipo 'ransomware', JNEC, que secuestra el equipo y exige un pago económico a cambio. Tras introducirse en un equipo, JNEC exige al usuario para recuperar el control de su dispositivo el pago de 0,05 'bitcoins', el equivalente a cerca de 175 euros en la actualidad.



La compañía de ciberseguridad ha explicado que la vulnerabilidad que ha originado el ataque se ubica en versiones antiguas de WinRAR, aunque indica que resulta frecuente que los usuarios que se descargan el 'software' después no lo actualicen, por lo que recomienda utilizar la última versión que hay de Winrar. Asimismo, Panda recomienda tanto a empresas como a usuarios disponer de una copia de seguridad como medida de prevención ante estos ataques, así como reducir el uso de compresores de archivos en favor de los documentos almacenados en la nube.