マイクロソフトのマルウェア保護センターの研究者は、ハッカーがランサムウェアプログラムをアクティブ化するために使用するリスクの高い可能性のある新しいマクロトリックをユーザーに警告しています。 悪意のあるマクロはOfficeアプリを標的にしており、7つの非常に巧妙に隠されたVBAモジュールとVBAユーザーフォームを含むWordファイルです。

VBAモジュールはマクロを使用した正当なSQLプログラムのように見えたため、研究者が悪意のあるマクロを最初にチェックしたとき、マクロを検出できませんでした。 もう一度見てみると、彼らはマクロが実際には暗号化された文字列を組み込んだ悪意のあるコードであることに気付きました。

ただし、このファイルが実際に悪意があるという即時の明白な識別はありませんでした。 これは、7つのVBAモジュールと、いくつかのボタン（ CommandButton要素を使用）を持つVBAユーザーフォームを含むWordファイルです。 ただし、さらに調査した結果、ユーザーフォームのCommandButton3のCaptionフィールドに奇妙な文字列が見つかりました。

戻って、ファイル内の他のモジュールを確認しましたが、 確かに、 Module2で異常なことが起こっています。 そこにあるマクロ（ UsariosConectados ）はCommandButton3のCaptionフィールドの文字列を解読します。これはURLであることが わかり ます。 deault autoopen（） マクロを使用して、ドキュメントが開かれたときにVBAプロジェクト全体を実行します。

マクロはURL（ hxxp：//clickcomunicacion.es/に 接続します ）Ransom：Win32 / Locky（SHA1：b91daa9b78720acb2f008048f5844d8f1649a5c4）として検出されたペイロードをダウンロードします。 ユーザーがOfficeファイルでマクロを有効にするとアクティブになります。

Officeをターゲットとするマクロベースのマルウェアを介してコンピューターをウイルスに感染させないための唯一の方法は、マクロを自分で作成した場合、または作成者を完全に信頼した場合にのみマクロを有効にすることです。 BitDefenderのセキュリティをインストールする必要のないスタンドアロンツールであるBitDefenderのAntiRansomwareツールをインストールすることもできます。 他の無料のセキュリティツールとは異なり、BDAntiRansomwareは広告に悩まされません。

ランサムウェア攻撃の標的になった場合、このツールであるIDランサムウェアを使用して、データを暗号化したランサムウェアを特定できます。 必要なのは、感染したファイルまたはマルウェアが画面に表示しているメッセージをアップロードすることだけです。 ID Ransomwareは現在55種類のランサムウェアを検出できますが、ファイル回復サービスは提供していません。