Microsoft встроит в Windows 11 нативную поддержку архивов RAR, 7-Zip и ряда других популярных форматов. Это позволит многим пользователям отказаться от использования сторонних утилит, например WinRAR. Научить Windows 11 работать с архивами поможет открытая библиотека libarchive.

С начала этого года появилось множество не только новых шифровальщиков, но также их подражателей и имитаторов. Может показаться странным, что часть вымогателей пытается выдать себя за другие шифровальщики, однако недавно обнаруженный CTB-Faker, представляющийся как CTB-Locker, доказывает, что это реальность. Несмотря на то, что в записке с условиями выкупа CTB-Faker утверждается, что файлы пользователя зашифрованы CTB-Locker, это далеко от истины. В отличие от CTB-Locker, который инжектируется в explorer.exe, чтобы запускаться со стартом системы, CTB-Faker использует различные скрипты и WinRAR, чтобы зашифровать файлы. По словам исследователей Check Point, новые семейства вымогателей очень часто используют WinRAR, так как в ней довольно надежная система защиты паролем. Более того, в этом приложении есть возможность удалить исходные файлы после того, как они были сжаты и зашифрованы.

Компания Bitdefender сообщает о крупном ботнете под названием Million-Machine. Название не врёт: образующих его машин действительно почти миллион. Ботнет перехватывает обращения к поисковикам и зарабатывает на рекламе. Вредоносная программа, лежащая в основе этого ботнета, называется Redirector.Paco. Для её распространения злоумышленники используют заражённые версии таких популярных приложений, как WinRAR, YouTube Downloader, Connectify, KMSPico и Stardock Start8. Попав на компьютер жертвы, она добавляет себя в список автозапуска в реестре под видом программ Adobe Flash Scheduler и Adobe Flash Update. Попутно Redirector.Paco меняет адрес прокси в настройках Internet Explorer. После этого все обращения к интернету проходят через локальный прокси на порте 9090.

Новое вредоносное ПО Ransom32 представляет собой вымогатель, написанный на JavaScript. Программа используется для заражения компьютеров под управлением OS X, Windows и Linux. Ransom32 легко разворачивается даже слабо подготовленными злоумышленниками. У него есть приборная панель, которая позволяет указывать адреса, на которые можно послать выкуп в биткоинах. На панели управления ведется окно статистики о том, сколько биткоинов получено. Копия Ransom32 была проанализирована специалистами Emsisoft, которые обнаружили, что новое семейство вымогателей включает самораспаковывающийся архив WinRAR, использует платформу NW.js для проникновения на компьютеры жертв. Затем происходит шифрование файлов с помощью алгоритма AES с ключом длиной 128 бит.

Брешь позволяет удаленно выполнить код на системе. В версии 5.21 популярного архиватора файлов WinRAR обнаружена опасная уязвимость, которая может затронуть миллионы пользователей по всему миру. По словам исследователя из лаборатории Vulnerability-Lab Мохаммада Резы Эспаргама (Mohammad Reza Espargham), брешь позволяет удаленно выполнить код на системе.