Ερευνητές από το Κέντρο προστασίας κακόβουλου λογισμικού της Microsoft προειδοποιούν τους χρήστες ενός νέου δυναμικού μακροεντολών που ενδέχεται να είναι υψηλού κινδύνου που χρησιμοποιούν οι χάκερ για να ενεργοποιήσουν τα προγράμματα ransomware. Η κακόβουλη μακροεντολή στοχεύει τις εφαρμογές του Office και είναι ένα αρχείο Word που περιέχει επτά πολύ επιδέξια κρυμμένες ενότητες VBA και μια φόρμα χρήστη VBA.

Όταν οι ερευνητές έλεγξαν πρώτα την κακόβουλη μακροεντολή, δεν μπορούσαν να την εντοπίσουν, καθώς οι ενότητες του VBA έμοιαζαν με νόμιμα προγράμματα SQL που λειτουργούσαν με μακροεντολή. Μετά από μια δεύτερη ματιά, συνειδητοποίησαν ότι η μακροεντολή ήταν στην πραγματικότητα ένας κακόβουλος κώδικας που ενσωματώνει μια κρυπτογραφημένη συμβολοσειρά.

Ωστόσο, δεν υπήρξε άμεση, προφανής αναγνώριση ότι ο φάκελος ήταν πραγματικά κακόβουλος. Πρόκειται για ένα αρχείο Word που περιέχει επτά ενότητες VBA και μια φόρμα χρήστη VBA με μερικά κουμπιά (χρησιμοποιώντας τα στοιχεία του CommandButton). Ωστόσο, μετά από περαιτέρω έρευνα, παρατηρήσαμε μια περίεργη συμβολοσειρά στο πεδίο Caption για το CommandButton3 στη φόρμα χρήστη.

Πήγαμε πίσω και επανεξετάσαμε τις άλλες ενότητες του αρχείου και αρκετά σίγουρα - υπάρχει κάτι ασυνήθιστο που συμβαίνει στη Ενότητα2. Μια μακροεντολή εκεί (UsariosConectados) αποκρυπτογραφεί τη συμβολοσειρά στο πεδίο Caption για το CommandButton3, το οποίο αποδεικνύεται ότι είναι μια διεύθυνση URL. Χρησιμοποιεί τη μακροεντολή autoopen () deault για να εκτελέσει ολόκληρο το έργο VBA κατά το άνοιγμα του εγγράφου.

Η μακροεντολή συνδέεται με τη διεύθυνση URL (hxxp: //clickcomunicacion.es/ ) για λήψη ενός ωφέλιμου φορτίου που ανιχνεύτηκε ως Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Ενεργοποιείται όταν οι χρήστες ενεργοποιούν μακροεντολές σε αρχεία του Office.

Ο μόνος τρόπος για να αποφύγετε να μολυνθεί ο υπολογιστής σας από ιούς μέσω του κακόβουλου λογισμικού που βασίζεται σε μακροεντολές στο γραφείο είναι να ενεργοποιήσετε τις μακροεντολές μόνο αν τις γράψατε μόνοι σας ή έχετε πλήρη εμπιστοσύνη στο άτομο που τις έγραψε. Μπορείτε επίσης να εγκαταστήσετε το εργαλείο AntiRansomware του BitDefender, ένα αυτόνομο εργαλείο που δεν απαιτεί την εγκατάσταση της ασφάλειας του Bitdefender. Σε αντίθεση με άλλα δωρεάν εργαλεία ασφάλειας, το BDAntiRansomware δεν σας παρενοχλεί με διαφημίσεις.

Σε περίπτωση που γίνει ποτέ ο στόχος μιας επίθεσης ransomware, μπορείτε να χρησιμοποιήσετε αυτό το εργαλείο, ID Ransomware για να εντοπίσετε το ransomware που κρυπτογράφησε τα δεδομένα σας. Το μόνο που έχετε να κάνετε είναι να ανεβάσετε ένα μολυσμένο αρχείο ή το μήνυμα που εμφανίζει το κακόβουλο λογισμικό στην οθόνη σας. Το ID Ransomware μπορεί να εντοπίσει 55 τύπους ransomware, αλλά δεν προσφέρει υπηρεσίες ανάκτησης αρχείων.