Para peneliti dari Pusat Perlindungan Malware Microsoft memperingatkan pengguna akan adanya trik makro baru yang berisiko tinggi yang digunakan oleh peretas untuk mengaktifkan program ransomware. Makro target jahat aplikasi Office dan itu adalah file Word yang berisi tujuh modul VBA yang sangat tersembunyi dan bentuk pengguna VBA.

Ketika peneliti pertama kali memeriksa makro jahat, mereka tidak bisa mendeteksinya, karena modul VBA tampak seperti program SQL yang sah yang didukung oleh makro. Setelah melihat kedua, mereka menyadari makro sebenarnya adalah kode berbahaya yang menggabungkan string terenkripsi.

Namun, tidak ada identifikasi langsung dan jelas bahwa file ini sebenarnya jahat. Ini adalah file Word yang berisi tujuh modul VBA dan formulir pengguna VBA dengan beberapa tombol (menggunakan elemen CommandButton). Namun, setelah penyelidikan lebih lanjut kami melihat string aneh di bidang Keterangan untuk CommandButton3 di formulir pengguna.

Kami kembali dan meninjau modul lain dalam file, dan tentu saja - ada sesuatu yang tidak biasa terjadi di Module2. Makro di sana (UsariosConectados) mendekripsi string di bidang Teks untuk CommandButton3, yang ternyata menjadi URL. Ia menggunakan deault autoopen () makro untuk menjalankan seluruh proyek VBA ketika dokumen dibuka.

Makro terhubung ke URL (hxxp: //clickcomunicacion.es/ ) untuk mengunduh muatan yang terdeteksi sebagai Tebusan: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4). Ini diaktifkan ketika pengguna mengaktifkan makro di file Office.

Satu-satunya cara untuk menghindari komputer Anda terinfeksi oleh virus melalui malware berbasis penargetan Office adalah mengaktifkan makro hanya jika Anda sendiri yang membuatnya, atau Anda benar-benar mempercayai orang yang menulisnya. Anda juga dapat menginstal alat AntiRansomware BitDefender, alat mandiri, yang tidak memerlukan keamanan Bitdefender untuk diinstal. Tidak seperti alat keamanan gratis lainnya, BDAntiRansomware tidak mengganggu Anda dengan iklan.

Jika Anda pernah menjadi target serangan ransomware, Anda dapat menggunakan alat ini, ID Ransomware untuk mengidentifikasi ransomware yang mengenkripsi data Anda. Yang harus Anda lakukan adalah mengunggah file yang terinfeksi atau pesan yang ditampilkan malware ke layar Anda. ID Ransomware saat ini dapat mendeteksi 55 jenis ransomware tetapi tidak menawarkan layanan pemulihan file apa pun.