Onderzoekers hebben ransomware ontdekt die gebruikmaakt van een beveiligingslek in de populaire archiveringssoftware WinRAR om gebruikers te infecteren. Het gaat om een .RAR-bestand dat een foto van een vrouw belooft, zo meldt het 360 Threat Intelligence Center op Twitter.

In werkelijkheid maakt het bestand misbruik van een kwetsbaarheid in een DLL-library waarmee WinRAR .ACE-bestanden uitpakt. Via het beveiligingslek is het mogelijk om kwaadaardige code in de Startup-map van Windows te plaatsen. Deze code wordt bij een herstart van het systeem uitgevoerd. In dit geval plaatsen de aanvallers het bestand “GoogleUpdate.exe” in de Statup-map. Hierdoor zouden gebruikers kunnen denken dat het om een updatetool van Google gaat.

Zodra de ransomware bij een herstart van het systeem worden uitgevoerd zal die allerlei bestanden versleutelen. Om de bestanden te ontsleutelen moeten gebruikers niet alleen een bedrag betalen (175 euro), maar ook een opgegeven Gmail-adres registreren. De decryptiesleutel wordt volgens de ransomware-ontwikkelaar na betaling naar dit adres gestuurd.

WinRAR-gebruikers krijgen het dringende advies om naar versie 5.70 of nieuwer te updaten. In de praktijk blijkt dat de meeste gebruikers de archiveringssoftware niet bijwerken. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat liet zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. 71 procent van de WinRAR-installaties was op het moment van het onderzoek echter niet up-to-date.

Image