365bet 用网址
安全公告
当前位置: 365bet 用网址>>网络安全>>安全公告>>正文
关于利用WinRAR高危安全漏洞传播勒索病毒的安全公告
2019-03-28     (点击: )

大工网安告[2019]011号

一、     情况分析:

综合国家信息安全漏洞共享平台(CNVD)、网络安全厂商Check Point、腾讯玄武实验室、山石网科、360威胁情报中心及互联网相关信息

WinRAR 是一款功能强大的压缩包管理器,2019年2月,安全厂商安全Check Point曝出WinRAR包含有超过19年的重大漏洞,其他安全厂商对该漏洞进行了验证并分析了相关恶意样本,在该漏洞被公布的第一周,网上便出现了超过100种不同的攻击行动,而且目前数量还在持续增加中,国家信息安全漏洞共享平台(CNVD)已将其收录为高危漏洞。网信中心也于2月23日发布了相关安全公告,详见:

http://its.dlut.edu.cn/info/1054/26591.htm

近日,一些安全厂商监测发现黑客组织开始利用WinRAR漏洞(CVE-2018-20250)传播恶意勒索软件的ACE文件,受害者在主机上通过WinRAR解压传播的恶意勒索软件就会触发漏洞,漏洞利用成功后会将内置的勒索软件写入到用户计算机启动项目录中,当用户重启和登录系统都会执行该勒索软件,从而导致重要文件被加密。由于该勒索软件执行后并没有保存生成的RSA公私钥,也没有通过其他渠道将公私钥信息发给攻击者所以即便受害者向黑客支付赎金也无法解密,对受害者造成不可挽回的损失。

鉴于利用该漏洞的攻击种类越来越多、攻击规模和危害越来越大,网信中心再次发出针对该漏洞的预警,请校内广大师生重视该网络安全问题并及时处置。

二、     威胁等级:严重

三、     影响范围:

发布时间早于5.70 Beta 1版本的WinRAR,其他使用unacev2.dll动态共享库的解压、文件管理类工具软件也有可能受影响,校内所有安装了上述软件的windows桌面系统及服务器系统都有可能受到攻击。

四、     安全建议:

由于WinRAR在校内有较大的用户群,且其他使用unacev2.dll动态共享库的解压、文件管理类工具软件也有可能受影响,因此建议校内所有使用windows操作系统的用户都要对系统尽快进行检查及处置,以免受到网络攻击,检查及处置建议如下:

1.软件厂商已经发布了最新的WinRAR版本,建议用户及时更新升级WinRAR(5.70 beta 1)到最新版本,下载地址如下:

32位版本:http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位版本:http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.也可卸载WinRAR,更换其他压缩软件,如7zip等。

3.也可以直接删除有漏洞的DLL(UNACEV2.DLL),这样不影响一般的使用,但是遇到ACE的文件会报错。

4.没有使用WinRAR软件或者更换了其他压缩软件的,应再次手工在c盘搜索UNACEV2.DLL文件,如该文件仍存在,建议手工删除。

5.提高网络安全意识,养成良好上网习惯,不要随意打开来历不明的文件、邮件,不从来历不明网站中随意下载、运行文件和程序。

参考链接:

https://research.checkpoint.com/extracting-code-execution-from-winrar/

http://www.cnvd.org.cn/webinfo/show/4903

https://mp.weixin.qq.com/s/Hz-uN9VEejYN6IHFBtUSRQ

https://mp.weixin.qq.com/s/Rjy9kh6wzv0l7ebGU9fJDg