Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Несрабатывающий скрипт в макросе мешает шифровальщику GandCrab заражать пользователей через документы Word

Несрабатывающий скрипт в макросе мешает шифровальщику GandCrab заражать пользователей через документы Word


16.04.2018

Несрабатывающий скрипт в макросе мешает шифровальщику GandCrab заражать пользователей через документы Word

Ошибка скрипта внутри вредоносных документов, созданных в Microsoft Word, препятствует распространению шифровальщика-вымогателя GandCrab. Об этом сообщает ресурс bleepingcomputer.com.

Рассматриваемый шифровальщик распространяется несколькими разными способами. Один из них заключается в рассылке спама с заархивированными документами Word. Эти документы содержат макросы с VBS-скриптом, который в случае активации должен скачать и запустить шифровальщик.

Однако, как выяснилось, скрипт срабатывает далеко не всегда. Эксперт по информационной безопасности Брэд Данкан (Brad Duncan) обнаружил, что в компиляторе скрипта содержится ошибка, блокирующая его исполнение.

Таким образом, некоторое количество потенциальных жертв оказались избавлены от заражения. Впрочем, их вряд ли было много: статистика ресурса id-ransomware.malwarehunterteam.com показывает, что 10-11 апреля 2018 г., когда началась спам-рассылка, никакого особенного спада в количестве заражений не произошло, хотя их и так было относительно немного.

Данкан также предсказал, что, скорее всего, ошибка в скрипте будет быстро исправлена. Когда в феврале 2018 г. компания Bitdefender обнаружила ошибки в GandCrab и выпустила дешифратор для него, злоумышленники менее чем через неделю выпустили исправленный вариант.

Спам неэффективен

Данкан отметил, что такие рассылки сегодня в принципе не очень эффективны. "Чтобы заразиться, потенциальные жертвы должны были выйти из режима защищенного просмотра и, проигнорировав все предупреждения безопасности, разрешить запуск макросов, — заявил Данкан. — Пользователи также с легкостью могут активировать политику ограничений ПО (Software Restriction Policies — SRP) или AppLocker, чтобы предотвратить подобные заражения".

"Макросы в документах Word сегодня по умолчанию отключены, — говорит Олег Галушкин, эксперт по информационной безопасности компании SEC Consult Services, — Это, впрочем, не мешает хакерам пытаться заставить пользователей их активировать с помощью всякого рода социальной инженерии. Иногда эти попытки оказываются успешными, и пользователи действительно игнорируют все предупреждения и запускают макросы, наживая себе крупные неприятности. Если документ поступает не из проверенного и перепроверенного источника, активировать макросы нельзя ни в коем случае".

 

Cnews


Добавить комментарий

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.