Microsoftin haittaohjelmien suojauskeskuksen tutkijat varoittavat käyttäjiä mahdollisesti korkean riskin uudesta makrotrikosta, jota hakkerit käyttävät lunastusohjelmien aktivointiin. Haitallinen makro kohdistuu Office-sovelluksiin ja se on Word-tiedosto, joka sisältää seitsemän erittäin taitavasti piilotettua VBA-moduulia ja VBA-käyttäjän lomaketta.

Kun tutkijat tarkistivat ensimmäisen kerran haitallisen makron, he eivät pystyneet tunnistamaan sitä, koska VBA-moduulit näyttivät makron käyttämistä laillisista SQL-ohjelmista. Toisen katselun jälkeen he huomasivat, että makro oli todella haittaohjelma, joka sisälsi salatun merkkijonon.

Ei kuitenkaan löytynyt välitöntä, selvää tunnistusta siitä, että tiedosto oli todella haittaohjelma. Se on Word-tiedosto, joka sisältää seitsemän VBA-moduulia ja VBA-käyttäjälomakkeen muutamalla painikkeella (käyttämällä CommandButton- elementtejä). Tarkemman tutkinnan jälkeen huomasimme kuitenkin omituisen merkkijonon CommandButton3- kuvatekstikenttään käyttäjän muodossa.

Palasimme takaisin ja tarkistimme tiedoston muut moduulit, ja varmasti - moduulissa2 on jotain epätavallista. Siellä oleva makro (UsariosConectados) purkaa merkkijonon CommandButton3: n Caption- kentässä, joka osoittautuu URL-osoitteeksi. Se käyttää deault autoopen () -makroa suorittamaan koko VBA-projekti, kun asiakirja avataan.

Makro muodostaa yhteyden URL-osoitteeseen (hxxp: //clickcomunicacion.es/ ) ladata hyötykuorma, joka havaitaan nimellä Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Se aktivoituu, kun käyttäjät ottavat makrot käyttöön Office-tiedostoissa.

Ainoa tapa välttää tietokoneesi tartunta viruksilta Office-kohdistavien makropohjaisten haittaohjelmien avulla on makrojen ottaminen käyttöön vain, jos kirjoitit ne itse tai luotat täysin kirjoittajiin. Voit myös asentaa BitDefenderin AntiRansomware-työkalun, itsenäisen työkalun, joka ei vaadi Bitdefender-suojauksen asentamista. Toisin kuin muut ilmaiset tietoturvatyökalut, BDAntiRansomware ei häiritse sinua mainosten kanssa.

Jos joudut koskaan lunastettujen ohjelmien hyökkäyksen kohteeksi, voit käyttää tätä työkalua, ID Ransomware, tunnistaaksesi tiedot salatut lunastusohjelmat. Ainoa mitä sinun on tehtävä, on ladata saastunut tiedosto tai viesti, jonka haittaohjelma näyttää näytöllä. ID Ransomware pystyy tällä hetkellä tunnistamaan 55 tyyppistä lunaohjelmistoa, mutta ei tarjoa tiedostojen palautuspalveluita.