Макросы и шифровальщики

Макросы и шифровальщики


Как вредоносные программы проникают в системы?
Основной вектор заражения шифровальщиками связан с их отправкой/получением в рамках фишинговых кампаний.

Сперва пользователь получает электронное письмо с вредоносным файлом в zip-формате, создавая у него иллюзию, что это действительно заархивированный zip-файл, однако в этом случае пользователь получает некий счет, формат и содержание которого зависит от полученного сообщения и названия файла. Например, в рассматриваемом случае файл имеет следующее название: Receipt 80-5602. zip, как это видно на скриншоте.

В этом скомпрометированном файле Вы найдете документ Microsoft Office, в частности, файл Excel с расширением «.xls», содержащий макрос (код написан в Visual Basic Script)

Как выполняется этот код / макрос?
Если у Вас не включено выполнение макросов в Excel, то поврежденный код не запустится автоматически, а вместо этого покажется сообщение о том, что документ содержит макрос, как это показано на скриншоте ниже.


И…что представляет собой данный макрос?
Основная функция данного макроса – это использование «дроппера», который скачивает и выполняет другой бинарный файл, в нашем случае – шифровальщика (хотя вместо него может оказаться другая вредоносная программа, бэкдор, бот и пр.).
В нашем случае файл запускается на удаленном сервере.

После выполнения макроса осуществляются следующие шаги: скачивание зашифрованного файла и его расшифровка, а потом – его извлечение.
Если мы посмотрим на имя файла, запущенного из макроса, или на его выполнение в командной строке, то мы увидим, что шифровальщик выглядит в формате DLL – такой подход становится все более распространенным. Кроме этого, он требует выполнения определенного экспорта, как в нашем случае – это «qwerty», что показано на скриншоте ниже:

Почему это выполнено таким образом? Просто потому, что многие системы, которые обновляют анализ вредоносных программ («песочницы»), сталкиваются с проблемами, если выполняется программа/код/библиотека, требующие определенных параметров, который зачастую неизвестны.
После шифрования MD5 этой библиотеки: 586aaaaf464be3a4598905b5f0587590

Подводя итог, можем дать следующий совет: если Вам не нужны нежелательные сюрпризы, то при получении документов Office от неизвестных отправителей не нажимайте на кнопку типа «Активировать макрос». Наконец, убедитесь, что Ваше антивирусное решение и система всегда обновлены!

Автор статьи: Луис Корронс (PandaLabs)


Оригинал статьи: Tales from Ransomwhere: Macros & Ransomware(s)


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
шифровальщик макрос заражение антивирусы кибератаки PandaLabs информационная безопасность
Alt text

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.