حذر باحثون من مركز حماية البرامج الضارة من Microsoft المستخدمين من خدعة ماكرو جديدة تنطوي على مخاطر عالية والتي يستخدمها المتسللون لتنشيط برامج الفدية. يستهدف الماكرو الضار تطبيقات Office وهو ملف Word يحتوي على سبع وحدات VBA مخفية للغاية ونموذج مستخدم VBA.

عندما قام الباحثون أولاً بفحص الماكرو الضار ، لم يتمكنوا من اكتشافه ، لأن وحدات VBA بدت وكأنها برامج SQL شرعية مدعومة من قبل الماكرو. بعد نظرة ثانية ، أدركوا أن الماكرو كان في الواقع رمزًا خبيثًا يتضمن سلسلة مشفرة.

ومع ذلك ، لم يكن هناك تعريف فوري واضح بأن هذا الملف كان ضارًا بالفعل. إنه ملف Word يحتوي على سبع وحدات VBA ونموذج مستخدم VBA مع بضعة أزرار (باستخدام عناصر CommandButton). ومع ذلك ، بعد مزيد من التحقيق ، لاحظنا سلسلة غريبة في حقل Caption لـ CommandButton3 في نموذج المستخدم.

عدنا واستعرضنا الوحدات النمطية الأخرى في الملف ، وبالتأكيد - هناك شيء غير عادي يحدث في Module2. يقوم ماكرو هناك (UsariosConectados) بفك تشفير السلسلة الموجودة في الحقل Caption لـ CommandButton3 ، والتي تتحول إلى عنوان URL. يستخدم ماكرو autoopen () deault لتشغيل مشروع VBA بأكمله عند فتح المستند.

يتصل الماكرو بعنوان URL (hxxp: //clickcomunicacion.es/ ) لتحميل حمولة تم اكتشافها على أنها فدية: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). يتم تنشيطه عند قيام المستخدمين بتمكين وحدات الماكرو في ملفات Office.

الطريقة الوحيدة لتجنب إصابة الكمبيوتر الخاص بك بالفيروسات من خلال البرامج الضارة المستندة إلى الماكرو التي تستهدف Office هي تمكين وحدات الماكرو فقط إذا كتبت بها بنفسك ، أو تثق تمامًا في الشخص الذي كتبها. يمكنك أيضًا تثبيت أداة BitRefender's AntiRansomware ، وهي أداة قائمة بذاتها ، لا تتطلب تثبيت Bitdefender. على عكس أدوات الأمان المجانية الأخرى ، لا يزعجك BDAntiRansomware بالإعلانات.

في حالة أن تصبح هدفًا لهجوم Ransomware ، يمكنك استخدام هذه الأداة ، ID Ransomware لتحديد Ransomware الذي قام بتشفير بياناتك. كل ما عليك فعله هو تحميل ملف مصاب أو رسالة تعرضها البرامج الضارة على شاشتك. يمكن لـ ID Ransomware حاليًا اكتشاف 55 نوعًا من برامج Ransomware ولكنه لا يقدم أي خدمات لاستعادة الملفات.