חוקרים ממרכז ההגנה מפני תוכנות זדוניות של מיקרוסופט מזהירים משתמשים מפני טריק מאקרו חדש שעשוי להיות בסיכון גבוה ומשמש את האקרים להפעלת תוכנות ransomware. המאקרו הזדוני ממקד לאפליקציות של Office וזה קובץ Word שמכיל שבעה מודולי VBA מוסתרים מאוד ובטופס משתמש VBA.

כאשר החוקרים בדקו לראשונה את המאקרו הזדוני, הם לא יכלו לזהות זאת, מכיוון שמודולי ה- VBA נראו כמו תוכנות SQL לגיטימיות המופעלות על ידי מאקרו. לאחר מבט שני, הם הבינו שהמקרו הוא למעשה קוד זדוני הכולל מחרוזת מוצפנת.

עם זאת, לא הייתה זיהוי מיידי, ברור מאליו, כי הקובץ הזה למעשה זדוני. זהו קובץ Word שמכיל שבעה מודולי VBA וטופס משתמש VBA עם כמה כפתורים (באמצעות רכיבי CommandButton). עם זאת, לאחר בירור נוסף הבחנו במחרוזת מוזרה בשדה הכיתוב עבור CommandButton3 בטופס המשתמש.

חזרנו ובדקנו את שאר המודולים בקובץ, ובוודאי די - יש משהו חריג במודול 2. מאקרו שם (UsariosConectados) מפענח את המחרוזת בשדה הכיתוב עבור CommandButton3, שמתגלה ככתובת אתר. הוא משתמש במאקרו autoopen deault () כדי להפעיל את כל פרויקט ה- VBA כשנפתח המסמך.

המאקרו מתחבר לכתובת האתר (hxxp: //clickcomunicacion.es/ ) כדי להוריד עומס שמתגלה ככופר: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). זה מופעל כאשר משתמשים מאפשרים פקודות מאקרו בקבצי Office.

הדרך היחידה להימנע מהידבקות במחשב שלך על ידי וירוסים באמצעות תוכנות זדוניות מבוססות מאקרו הממוקדות על ידי Office היא לאפשר פקודות מאקרו רק אם כתבת אותם בעצמך, או שאתה סומך לחלוטין על האדם שכתב אותם. באפשרותך להתקין גם את הכלי AntiRansomware של BitDefender, כלי עצמאי, שאינו דורש התקנת אבטחה של Bitdefender. שלא כמו כלי אבטחה אחרים בחינם, BDAntiRansomware אינו מציק לך במודעות.

אם תהפוך אי פעם למטרה להתקפת תוכנת ransomware, אתה יכול להשתמש בכלי זה, ID Ransomware, כדי לזהות את תוכנת ה- Ransomware שהצפינה את הנתונים שלך. כל שעליכם לעשות הוא להעלות קובץ שורץ או את ההודעה שהתוכנה הזדונית מציגה למסך. ID Ransomware יכול לזהות כיום 55 סוגים של תוכנת ransomware אך אינו מציע שירותי שחזור קבצים.