Onderzoekers van het Malware Protection Center van Microsoft waarschuwen gebruikers voor een potentieel risicovolle nieuwe macrotruc die hackers gebruiken om ransomware-programma's te activeren. De kwaadaardige macro is gericht op Office-apps en het is een Word-bestand dat zeven zeer vakkundig verborgen VBA-modules en een VBA-gebruikersformulier bevat.

Toen onderzoekers voor het eerst de kwaadaardige macro controleerden, konden ze het niet detecteren, omdat de VBA-modules eruit zagen als legitieme SQL-programma's aangedreven door een macro. Na een tweede blik realiseerden ze zich dat de macro eigenlijk een kwaadaardige code was die een gecodeerde string bevatte.

Er was echter geen onmiddellijke, voor de hand liggende identificatie dat dit bestand daadwerkelijk schadelijk was. Het is een Word-bestand dat zeven VBA-modules en een VBA-gebruikersformulier met enkele knoppen bevat (met behulp van de CommandButton- elementen). Na verder onderzoek zagen we echter een vreemde string in het bijschriftveld voor CommandButton3 in het gebruikersformulier.

We gingen terug en bekeken de andere modules in het bestand, en ja hoor - er is iets ongewoons aan de hand in Module2. Een macro daar (UsariosConectados) decodeert de string in het veld Caption voor CommandButton3, wat een URL blijkt te zijn. Het gebruikt de deault autoopen () macro om het hele VBA-project uit te voeren wanneer het document wordt geopend.

De macro maakt verbinding met de URL (hxxp: //clickcomunicacion.es/ ) om een ​​lading te downloaden die is gedetecteerd als Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Het wordt geactiveerd wanneer gebruikers macro's in Office-bestanden inschakelen.

De enige manier om te voorkomen dat uw computer wordt geïnfecteerd door virussen via op Office gerichte macro-gebaseerde malware, is om macro's alleen in te schakelen als u ze zelf hebt geschreven of als u de persoon die ze schreef volledig vertrouwt. U kunt ook de AntiRansomware-tool van BitDefender installeren, een zelfstandige tool die geen Bitdefender-beveiliging vereist. In tegenstelling tot andere gratis beveiligingshulpmiddelen, wordt u door BDAntiRansomware niet lastiggevallen met advertenties.

Mocht u ooit het doelwit worden van een ransomware-aanval, kunt u deze tool, ID Ransomware, gebruiken om de ransomware te identificeren die uw gegevens heeft gecodeerd. Het enige wat u hoeft te doen is een besmet bestand of het bericht dat de malware op uw scherm weergeeft, te uploaden. ID Ransomware kan momenteel 55 soorten ransomware detecteren, maar biedt geen services voor bestandsherstel.