Макросы и шифровальщики

Макросы и шифровальщики


Как вредоносные программы проникают в системы?
Основной вектор заражения шифровальщиками связан с их отправкой/получением в рамках фишинговых кампаний.

Сперва пользователь получает электронное письмо с вредоносным файлом в zip-формате, создавая у него иллюзию, что это действительно заархивированный zip-файл, однако в этом случае пользователь получает некий счет, формат и содержание которого зависит от полученного сообщения и названия файла. Например, в рассматриваемом случае файл имеет следующее название: Receipt 80-5602. zip, как это видно на скриншоте.

В этом скомпрометированном файле Вы найдете документ Microsoft Office, в частности, файл Excel с расширением «.xls», содержащий макрос (код написан в Visual Basic Script)

Как выполняется этот код / макрос?
Если у Вас не включено выполнение макросов в Excel, то поврежденный код не запустится автоматически, а вместо этого покажется сообщение о том, что документ содержит макрос, как это показано на скриншоте ниже.


И…что представляет собой данный макрос?
Основная функция данного макроса – это использование «дроппера», который скачивает и выполняет другой бинарный файл, в нашем случае – шифровальщика (хотя вместо него может оказаться другая вредоносная программа, бэкдор, бот и пр.).
В нашем случае файл запускается на удаленном сервере.

После выполнения макроса осуществляются следующие шаги: скачивание зашифрованного файла и его расшифровка, а потом – его извлечение.
Если мы посмотрим на имя файла, запущенного из макроса, или на его выполнение в командной строке, то мы увидим, что шифровальщик выглядит в формате DLL – такой подход становится все более распространенным. Кроме этого, он требует выполнения определенного экспорта, как в нашем случае – это «qwerty», что показано на скриншоте ниже:

Почему это выполнено таким образом? Просто потому, что многие системы, которые обновляют анализ вредоносных программ («песочницы»), сталкиваются с проблемами, если выполняется программа/код/библиотека, требующие определенных параметров, который зачастую неизвестны.
После шифрования MD5 этой библиотеки: 586aaaaf464be3a4598905b5f0587590

Подводя итог, можем дать следующий совет: если Вам не нужны нежелательные сюрпризы, то при получении документов Office от неизвестных отправителей не нажимайте на кнопку типа «Активировать макрос». Наконец, убедитесь, что Ваше антивирусное решение и система всегда обновлены!

Автор статьи: Луис Корронс (PandaLabs)


Оригинал статьи: Tales from Ransomwhere: Macros & Ransomware(s)


Panda Security в России
+7(495)105 94 51, marketing@rus.pandasecurity.com
шифровальщик макрос заражение антивирусы кибератаки PandaLabs информационная безопасность
Alt text

Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!

Облачные решения

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.