Cercetătorii de la Microsoft Malware Protection Center avertizează utilizatorii cu privire la un nou truc macro macro cu potențial risc utilizat de hackeri pentru a activa programele ransomware. Macro-ul rău intenționat vizează aplicațiile Office și este un fișier Word care conține șapte module VBA foarte ascunse și un formular de utilizator VBA.

Când cercetătorii au verificat pentru prima dată macro-ul rău intenționat, nu l-au putut detecta, deoarece modulele VBA arătau ca niște programe SQL legitime alimentate de o macro. După oa doua privire, și-au dat seama că macro-ul era de fapt un cod rău intenționat care încorpora un șir criptat.

Cu toate acestea, nu a existat o identificare imediată și evidentă a faptului că acest fișier era de fapt rău intenționat. Este un fișier Word care conține șapte module VBA și un formular de utilizator VBA cu câteva butoane (folosind elementele CommandButton). Cu toate acestea, după investigarea ulterioară, am observat un șir ciudat în câmpul de legendă pentru CommandButton3 în formularul de utilizator.

Ne-am întors și am revizuit celelalte module din fișier, și destul de sigur - se întâmplă ceva neobișnuit în Module2. O macrocomandă acolo (UsariosConectados) decriptează șirul în câmpul de legendă pentru CommandButton3, care se dovedește a fi o adresă URL. Acesta folosește macro- ul deault autoopen () pentru a rula întregul proiect VBA la deschiderea documentului.

Macro se conectează la adresa URL (hxxp: //clickcomunicacion.es/ ) pentru a descărca o sarcină utilă detectată ca Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Se activează atunci când utilizatorii activează macrocomenzi în fișierele Office.

Singura modalitate de a evita infectarea computerului de viruși prin intermediul malware-ului bazat pe macro care vizează Office este de a activa macro-urile doar dacă le-ai scris singur sau dacă ai încredere completă în persoana care le-a scris. Puteți instala, de asemenea, instrumentul AntiRansomware BitDefender, un instrument autonom, care nu necesită instalarea securității Bitdefender. Spre deosebire de alte instrumente de securitate gratuite, BDAntiRansomware nu vă pune problema cu reclame.

Dacă veți deveni vreodată ținta unui atac ransomware, puteți utiliza acest instrument, ID Ransomware, pentru a identifica ransomware-ul care a criptat datele. Nu trebuie decât să încărcați un fișier infestat sau mesajul pe care malware îl afișează pe ecran. ID Ransomware poate detecta în prezent 55 de tipuri de ransomware, dar nu oferă servicii de recuperare a fișierelor.