Дослідники з Центру захисту від шкідливих програм Microsoft попереджають користувачів про потенційно високий ризик нового макро-трюку, який хакери використовують для активації програм, що вимагають програмного забезпечення. Зловмисний макрос націлений на додатки Office, і це файл Word, який містить сім дуже майстерно прихованих модулів VBA та форму користувача VBA.

Коли дослідники вперше перевірили шкідливий макрос, вони не змогли його виявити, оскільки модулі VBA виглядали як законні програми SQL, що працюють на основі макроса. Після другого погляду вони зрозуміли, що макрос насправді є шкідливим кодом, що містить зашифрований рядок.

Однак не було негайного, очевидного виявлення того, що цей файл насправді шкідливий. Це файл Word, який містить сім модулів VBA та форму користувача VBA з кількома кнопками (за допомогою елементів CommandButton). Однак після подальшого дослідження ми помітили дивну рядок у полі Caption для CommandButton3 у формі користувача.

Ми повернулися назад і переглянули інші модулі у файлі, і досить впевнено - у Module2 відбувається щось незвичне. Макрос там (UsariosConectados) розшифровує рядок у полі Caption для CommandButton3, який виявляється URL-адресою. Він використовує вичерпаний макрос autoopen () для запуску всього проекту VBA при відкритті документа.

Макрос підключається до URL-адреси (hxxp: //clickcomunicacion.es/ ) для завантаження корисного навантаження, виявленого як Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Він активується, коли користувачі вмикають макроси у файлах Office.

Єдиний спосіб уникнути зараження комп’ютером вірусами через зловмисне програмне забезпечення, орієнтоване на макрос, - це ввімкнути макроси лише в тому випадку, якщо ви їх написали самі або ви повністю довіряєте людині, яка їх написала. Ви також можете встановити інструмент AntiRansomware BitDefender, окремий інструмент, який не потребує встановлення безпеки Bitdefender. На відміну від інших безкоштовних інструментів безпеки, BDAntiRansomware не домагає вас реклами.

Якщо ви коли-небудь станете об'єктом нападу викупного програмного забезпечення, ви можете скористатися цим інструментом ID ID Ransomware для виявлення викупного програмного забезпечення, яке зашифрувало ваші дані. Все, що вам потрібно зробити - це завантажити заражений файл або повідомлення, яке зловмисне програмне забезпечення відображається на ваш екран. Наразі ID Ransomware може виявити 55 типів програм, що вимагаються, але не пропонує жодних служб відновлення файлів.