Forscher vom Malware Protection Center von Microsoft warnen Benutzer vor einem potenziell risikoreichen neuen Makrotrick, mit dem Hacker Ransomware-Programme aktivieren. Das böswillige Makro zielt auf Office-Apps ab und ist eine Word-Datei, die sieben sehr geschickt versteckte VBA-Module und ein VBA-Benutzerformular enthält.

Als die Forscher das bösartige Makro zum ersten Mal überprüften, konnten sie es nicht erkennen, da die VBA-Module wie legitime SQL-Programme aussahen, die von einem Makro angetrieben wurden. Nach einem zweiten Blick erkannten sie, dass das Makro tatsächlich ein bösartiger Code war, der eine verschlüsselte Zeichenfolge enthielt.

Es gab jedoch keine sofortige, offensichtliche Identifizierung, dass diese Datei tatsächlich böswillig war. Es handelt sich um eine Word-Datei, die sieben VBA-Module und ein VBA-Benutzerformular mit wenigen Schaltflächen (mithilfe der CommandButton- Elemente) enthält. Nach weiteren Untersuchungen haben wir jedoch eine seltsame Zeichenfolge im Feld Beschriftung für CommandButton3 im Benutzerformular festgestellt.

Wir sind zurückgegangen und haben die anderen Module in der Datei durchgesehen, und zwar, dass in Modul 2 etwas Ungewöhnliches vor sich geht. Ein Makro dort (UsariosConectados) entschlüsselt die Zeichenfolge im Feld Beschriftung für CommandButton3, die sich als URL herausstellt. Mit dem deault autoopen () -Makro wird das gesamte VBA-Projekt ausgeführt, wenn das Dokument geöffnet wird.

Das Makro stellt eine Verbindung zur URL her (hxxp: //clickcomunicacion.es/ ), um eine als Lösegeld erkannte Nutzlast herunterzuladen: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Es wird aktiviert, wenn Benutzer Makros in Office-Dateien aktivieren.

Die einzige Möglichkeit, um zu verhindern, dass Ihr Computer über auf Office-Zielmakros basierende Malware mit Viren infiziert wird, besteht darin, Makros nur dann zu aktivieren, wenn Sie sie selbst geschrieben haben oder der Person, die sie geschrieben hat, vollkommen vertrauen. Sie können auch das AntiRansomware-Tool von BitDefender installieren, ein eigenständiges Tool, für das keine Bitdefender-Sicherheit installiert werden muss. Im Gegensatz zu anderen kostenlosen Sicherheitstools belästigt Sie BDAntiRansomware nicht mit Werbung.

Sollten Sie jemals das Ziel eines Ransomware-Angriffs werden, können Sie mit diesem Tool, ID Ransomware, die Ransomware identifizieren, die Ihre Daten verschlüsselt hat. Sie müssen lediglich eine infizierte Datei oder die Meldung, die die Malware anzeigt, auf Ihren Bildschirm hochladen. ID Ransomware kann derzeit 55 Arten von Ransomware erkennen, bietet jedoch keine Dienste zur Wiederherstellung von Dateien an.