Výskumníci z Malware Protection Center spoločnosti Microsoft varujú používateľov pred potenciálne rizikovým novým makrom, ktorý hackeri používajú na aktiváciu programov ransomware. Škodlivé makro je zacielené na aplikácie balíka Office a je to súbor programu Word, ktorý obsahuje sedem veľmi zručne skrytých modulov VBA a formulár používateľa VBA.

Keď vedci prvýkrát skontrolovali škodlivé makro, nemohli ho zistiť, pretože moduly VBA vyzerali ako legitímne programy SQL poháňané makrom. Po druhom pohľade si uvedomili, že makro je v skutočnosti škodlivý kód obsahujúci šifrovaný reťazec.

Neexistovala však okamžitá a zrejmá identifikácia, že tento súbor bol skutočne škodlivý. Je to súbor programu Word, ktorý obsahuje sedem modulov VBA a užívateľský formulár VBA s niekoľkými tlačidlami (pomocou prvkov CommandButton). Po ďalšom skúmaní sme však v užívateľskom formulári zaznamenali v poli Titulok zvláštny reťazec CommandButton3.

Vrátili sme sa a preskúmali sme ostatné moduly v súbore a sme si istí, že v Module2 sa deje niečo neobvyklé. Makro tam (UsariosConectados) dešifruje reťazec v poli Titulok pre CommandButton3, čo sa ukáže ako URL. Makro deault autoopen () používa na spustenie celého projektu VBA pri otvorení dokumentu.

Makro sa pripája k adrese URL (hxxp: //clickcomunicacion.es/ ) na stiahnutie užitočného zaťaženia zisteného ako Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Aktivuje sa, keď používatelia povolia makrá v súboroch balíka Office.

Jediným spôsobom, ako zabrániť tomu, aby bol váš počítač napadnutý vírusmi prostredníctvom makra založeného na škodlivom softvéri zameranom na kanceláriu, je povoliť makrá, iba ak ste ich napísali sami alebo úplne dôverujete osobe, ktorá ich napísala. Môžete tiež nainštalovať nástroj BitRefom AntiRansomware, samostatný nástroj, ktorý nevyžaduje inštaláciu zabezpečenia Bitdefenderu. Na rozdiel od iných bezplatných bezpečnostných nástrojov vás program BDAntiRansomware netrápi reklamami.

Ak sa niekedy stanete terčom útoku na ransomware, môžete pomocou tohto nástroja ID Ransomware identifikovať ransomware, ktorý šifruje vaše údaje. Musíte len nahrať infikovaný súbor alebo správu, ktorú malware zobrazuje na svoju obrazovku. ID Ransomware v súčasnosti dokáže zistiť 55 typov ransomwaru, ale neposkytuje žiadne služby na obnovenie súborov.