Microsoft Malware Protection Center의 연구원들은 사용자에게 랜섬웨어 프로그램을 활성화하기 위해 해커가 사용하는 잠재적으로 위험성이 높은 새로운 매크로 트릭을 경고합니다. 악성 매크로는 Office 앱을 대상으로하며 매우 정교하게 숨겨진 7 개의 VBA 모듈과 VBA 사용자 양식을 포함하는 Word 파일입니다.

연구자들은 악성 매크로를 처음 확인했을 때 VBA 모듈이 매크로에 의해 구동되는 합법적 인 SQL 프로그램처럼 보였기 때문에이를 탐지 할 수 없었습니다. 다시 한 번 살펴보면 매크로가 실제로 암호화 된 문자열을 통합하는 악성 코드라는 것을 알았습니다.

그러나이 파일이 실제로 악의적이라는 즉각적인 명백한 확인은 없었습니다. 7 개의 VBA 모듈과 몇 개의 버튼 (CommandButton 요소 사용)이있는 VBA 사용자 양식을 포함하는 Word 파일입니다. 그러나 추가 조사 후 사용자 양식의 CommandButton3 에 대한 캡션 필드에 이상한 문자열이 있음을 발견했습니다.

우리는 파일로 돌아가서 다른 모듈을 검토했으며 충분히 확신했습니다. Module2 에 비정상적인 일이 있습니다. 매크로 (UsariosConectados)는 CommandButton3 의 캡션 필드에서 문자열을 해독하여 URL로 나타납니다. 문서를 열 때 deault autoopen () 매크로를 사용하여 전체 VBA 프로젝트를 실행합니다.

매크로는 URL에 연결합니다 (hxxp: //clickcomunicacion.es/ ) Ransom: Win32 / Locky (SHA1: b91daa9b78720acb2f008048f5844d8f1649a5c4)로 탐지 된 페이로드를 다운로드하려면 사용자가 Office 파일에서 매크로를 활성화하면 활성화됩니다.

Office 대상 매크로 기반 맬웨어를 통해 컴퓨터가 바이러스에 감염되지 않도록하는 유일한 방법은 매크로를 직접 작성했거나 작성한 사람을 완전히 신뢰하는 경우에만 매크로를 활성화하는 것입니다. Bitdefender 보안을 설치할 필요가없는 독립형 도구 인 BitDefender의 AntiRansomware 도구를 설치할 수도 있습니다. 다른 무료 보안 도구와 달리 BDAntiRansomware는 광고로 귀찮게하지 않습니다.

랜섬웨어 공격의 대상이 된 경우 ID 랜섬웨어 도구를 사용하여 데이터를 암호화 한 랜섬웨어를 식별 할 수 있습니다. 감염된 파일 또는 맬웨어가 화면에 표시하는 메시지를 업로드하기 만하면됩니다. ID 랜섬웨어는 현재 55 가지 유형의 랜섬웨어를 탐지 할 수 있지만 파일 복구 서비스는 제공하지 않습니다.