一、情況分析：

綜合國(guó)家信息安全漏洞共享平臺(tái)（CNVD）、網(wǎng)絡(luò)安全廠(chǎng)商Check Point、騰訊玄武實(shí)驗(yàn)室、山石網(wǎng)科、360威脅情報(bào)中心及互聯(lián)網(wǎng)相關(guān)信息

WinRAR 是一款功能強(qiáng)大的壓縮包管理器，2019年2月，安全廠(chǎng)商安全Check Point曝出WinRAR包含有超過(guò)19年的重大漏洞，其他安全廠(chǎng)商對(duì)該漏洞進(jìn)行了驗(yàn)證并分析了相關(guān)惡意樣本，在該漏洞被公布的第一周，網(wǎng)上便出現(xiàn)了超過(guò)100種不同的攻擊行動(dòng)，而且目前數(shù)量還在持續(xù)增加中，國(guó)家信息安全漏洞共享平臺(tái)（CNVD）已將其收錄為高危漏洞。網(wǎng)信中心也于2月23日發(fā)布了相關(guān)安全公告，詳見(jiàn)：

http://its.dlut.edu.cn/info/1054/26591.htm

近日，一些安全廠(chǎng)商監(jiān)測(cè)發(fā)現(xiàn)黑客組織開(kāi)始利用WinRAR漏洞（CVE-2018-20250）傳播惡意勒索軟件的ACE文件，受害者在主機(jī)上通過(guò)WinRAR解壓傳播的惡意勒索軟件就會(huì)觸發(fā)漏洞，漏洞利用成功后會(huì)將內(nèi)置的勒索軟件寫(xiě)入到用戶(hù)計(jì)算機(jī)啟動(dòng)項(xiàng)目錄中，當(dāng)用戶(hù)重啟和登錄系統(tǒng)都會(huì)執(zhí)行該勒索軟件，從而導(dǎo)致重要文件被加密。由于該勒索軟件執(zhí)行后并沒(méi)有保存生成的RSA公私鑰，也沒(méi)有通過(guò)其他渠道將公私鑰信息發(fā)給攻擊者所以即便受害者向黑客支付贖金也無(wú)法解密，對(duì)受害者造成不可挽回的損失。

鑒于利用該漏洞的攻擊種類(lèi)越來(lái)越多、攻擊規(guī)模和危害越來(lái)越大，網(wǎng)信中心再次發(fā)出針對(duì)該漏洞的預(yù)警，請(qǐng)校內(nèi)廣大師生重視該網(wǎng)絡(luò)安全問(wèn)題并及時(shí)處置。

二、威脅等級(jí)：嚴(yán)重

三、影響范圍：

發(fā)布時(shí)間早于5.70 Beta 1版本的WinRAR，其他使用unacev2.dll動(dòng)態(tài)共享庫(kù)的解壓、文件管理類(lèi)工具軟件也有可能受影響，校內(nèi)所有安裝了上述軟件的windows桌面系統(tǒng)及服務(wù)器系統(tǒng)都有可能受到攻擊。

四、安全建議：

由于WinRAR在校內(nèi)有較大的用戶(hù)群，且其他使用unacev2.dll動(dòng)態(tài)共享庫(kù)的解壓、文件管理類(lèi)工具軟件也有可能受影響，因此建議校內(nèi)所有使用windows操作系統(tǒng)的用戶(hù)都要對(duì)系統(tǒng)盡快進(jìn)行檢查及處置，以免受到網(wǎng)絡(luò)攻擊，檢查及處置建議如下：

1.軟件廠(chǎng)商已經(jīng)發(fā)布了最新的WinRAR版本，建議用戶(hù)及時(shí)更新升級(jí)WinRAR（5.70 beta 1）到最新版本，下載地址如下：

32位版本：http://win-rar.com/fileadmin/winrar-versions/wrar57b1.exe

64位版本：http://win-rar.com/fileadmin/winrar-versions/winrar-x64-57b1.exe

2.也可卸載WinRAR，更換其他壓縮軟件，如7zip等。

3.也可以直接刪除有漏洞的DLL（UNACEV2.DLL），這樣不影響一般的使用，但是遇到ACE的文件會(huì)報(bào)錯(cuò)。

4.沒(méi)有使用WinRAR軟件或者更換了其他壓縮軟件的，應(yīng)再次手工在c盤(pán)搜索UNACEV2.DLL文件，如該文件仍存在，建議手工刪除。

5.提高網(wǎng)絡(luò)安全意識(shí)，養(yǎng)成良好上網(wǎng)習(xí)慣，不要隨意打開(kāi)來(lái)歷不明的文件、郵件，不從來(lái)歷不明網(wǎng)站中隨意下載、運(yùn)行文件和程序。