Η εταιρεία ασφάλειας Heimdal Security αποκάλυψε μια νέα εκστρατεία ransomware, η οποία, μέχρι και αυτή τη στιγμή εξακολουθεί να μην αναγνωρίζεται από οποιοδήποτε από τα 57 προϊόντα ασφαλείας που υπάρχουν στο VirusTotal antivirus aggregator της Google.
Το νέο ransοmware διαδίδεται στη Σκανδιναβία, χρησιμοποιώντας spam emails, τα οποία έρχονται με ένα συνημμένο έγγραφο του Word. Αυτό το αρχείο είναι παγιδευμένο με μια κακόβουλη μακροεντολή που, όταν το έγγραφο ανοίγει, εκτελεί και κατεβάζει το ransοmware στον υπολογιστή του θύματος.
Όταν κατέβει το ransοmware κρυπτογραφεί άμεσα τα σημαντικότερα έγγραφα του χρήστη, και αλλάζει την κατάληξη των αρχείων σε “.breaking_bad”.
Η πρόσβαση στα κρυπτογραφημένα αρχεία είναι αδύνατη αν οι ιδιοκτήτες τους δεν καταβάλουν τα λύτρα.
Η μακροεντολή του Word που χρησιμοποιεί το ransοmware, έχει χρησιμοποιηθεί επίσης και από μια κινεζική ομάδα hacking που στόχευε Ρώσικες στρατιωτικές βάσεις.
Ο λόγος για τον οποίο αυτή η τεχνική είναι τόσο αγαπητή στους hackers είναι γιατί τους επιτρέπει να δημιουργήσουν κακόβουλα αρχεία που δεν φαίνονται καθόλου κακόβουλα.
Αυτός είναι πιθανώς και ο λόγος που το ransomware δεν εντοπίζεται από την VirusTotal.
Τα έγγραφα του Word μοιάζουν με οποιαδήποτε άλλα έγγραφα του Word, και δεν περιέχουν κάποιο κακόβουλο φορτίο, εκτός από μερικές οδηγίες “για να κατεβάσουν ένα αρχείο από το Web” από ένα macro.
Αυτό το αρχείο μπορεί να είναι οτιδήποτε: μια εικόνα, ένα αρχείο CSS, ή ένα malware. Έτσι ο μόνος τρόπος προστασίας για τέτοιου είδους απειλές είναι η εκπαίδευση των χρηστών για να μην ανοίγουν οτιδήποτε αρχεία στο Internet που προέρχονται από άγνωστα άτομα, ότι και αν υπόσχονται.