Un risc semnificativ pe care utilizatorii îl întâmpină este activarea comenzilor macro în aceste atașamente. Atunci când un utilizator deschide un astfel de atașament și activează comenzile macro, codul înglobat în fișierul respectiv poate executa malware pe sistemul său, punând în pericol datele și securitatea informatică.
Ce sunt comenzile macro?
Comenzile macro reprezintă seturi de instrucțiuni sau coduri predefinite, scrise într-un limbaj de programare numit Visual Basic for Applications (VBA), care pot fi înregistrate și apoi redate pentru a automatiza diverse sarcini în cadrul programelor software, precum Microsoft Word, Excel și PowerPoint. Aceste comenzi sunt folosite pentru a facilita și accelera procesele repetitive în aplicații precum procesatoare de text, foi de calcul, baze de date și alte programe de productivitate. Comenzile macro sunt utile pentru a economisi timp și efort, deoarece ele pot efectua acțiuni complexe cu doar câteva clicuri sau apăsări de taste.
Cu toate acestea, în contextul fișierelor de atașamente la e-mailuri, comenzile macro pot deveni periculoase. Acestea pot fi utilizate pentru a executa acțiuni automate într-un document atașat la un e-mail. De exemplu, atunci când un utilizator deschide un astfel de atașament și activează comenzile macro, codul înglobat în fișierul respectiv poate fi programat să descarce și să ruleze programe malițioase pe calculatorul utilizatorului, fără ca acesta să-și dea seama. Acest lucru poate duce la infectarea sistemului cu malware, inclusiv ransomware, adware sau alte tipuri de software rău intenționat.
Cum se produce infectarea prin activarea comenzilor macro?
Chiar dacă versiunile recente ale Microsoft Office au macro-urile dezactivate în mod implicit, infractorii cibernetici folosesc tehnici de manipulare socială (social engineering) pentru a convinge utilizatorii să activeze macro-urile și să permită astfel malware-ului lor să ruleze. De obicei, malware-ul macro este transmis prin e-mail-uri de phishing care conțin atașamente malițioase.
Luăm ransomwareul Locky drept exemplu. Acesta se răspândește prin atașamente de e-mail care conțin documente Word ce afișează un text codificat și un titlu mare care vă îndeamnă să activați macro-urile pentru a vedea textul corect. Prin aceasta, infractorii cibernetici încearcă să vă convingă să activați macro-urile, deoarece datele par a fi codificate incorect. Chiar și când macro-urile sunt activate, textul rămâne același, însă în fundal, un mic fragment de cod salvează un fișier pe hard drive-ul vostru și îl execută. Fișierul salvat este "Troj/Ransom-CGX", un program care duce către une executabil, în acest caz, Locky. Payload-ul ransomware-ului nu este încorporat în document, ci este descărcat ulterior.
Programul se conectează la internet, iar Locky începe să cripteze toate fișierele care se potrivesc cu o listă de extensii, cum ar fi video-uri, imagini, documente sau cod sursă. O altă acțiune pe care Locky o întreprinde după ce infectează computerul este să elimine fișierele dumneavoastră de serviciu de snapshot-uri ale volumului (Volume Snapshot Service - VSS), un tip de fișier de backup în timp real pe Windows, și să vă înlocuiască fundalul desktopului cu notificarea sa de răscumpărare.
Ce să faceți dacă ați activat macrocomenzile într-un atașament de e-mail infectat?
Dacă ați activat macrocomenzile într-un atașament de e-mail infectat, este important să luați următoarele măsuri:
- Deconectați computerul de la internet: primul pas este să deconectați imediat computerul de la internet pentru a opri orice comunicare cu serverele malware-ului și pentru a preveni răspândirea infectării;
- Rulați un program antivirus complet al sistemului: folosiți un program antivirus actualizat pentru a scana întregul sistem și a identifica orice malware prezent. Asigurați-vă că antivirusul este actualizat la cea mai recentă versiune pentru a detecta cele mai noi amenințări. Programe des întâlnite pentru scanarea stațiilor infectate, sunt: Malware Bytes, RogueKiller AntiMalware, Kaspersky Anti-Ransomware Tool, Trend Micro Ransom Buster;
- Schimbați parolele pentru toate conturile: dacă ați furnizat accidental informații personale sau de autentificare în timpul incidentului, schimbați imediat parolele pentru toate conturile online relevante. Aceasta include conturile de e-mail, rețele sociale, servicii bancare online și orice altă platformă pe care o utilizați;
- Faceți o copie de rezervă a datelor: dacă aveți date importante pe computerul infectat, faceți o copie de rezervă a acestora pe un dispozitiv extern sau în cloud. Asigurați-vă că aceste date sunt sigure și nu sunt afectate de malware.
Cum să preveniți atacurile cu malware-ul macro?
Pentru a evita situațiile de mai sus, în care să vă întrebați ce faceți după ce computerul este infectat cu ransomware, puteți preveni aceste incidente înainte ca atașamentul respectiv să ajungă în inbox.
Asigurați-vă întotdeauna că macrocomenzile sunt dezactivate în aplicațiile Microsoft Office și să nu deschideți e-mail-uri sau atașamente suspecte. Fii atent la e-mailurile de la expeditori necunoscuți și nu deschideți sau descărcați atașamente de la surse nesigure.
Pentru a dezactiva comenzile macro din Outlook, care este unul dintre cei mai des folosiți clienți de e-mail, puteți urma pașii de mai jos:
- Selectați „Fișier” (File) > „Opțiuni” (Options);
- Selectați „Centrul de Încredere” (Trust Center) în panoul din stânga, apoi apăsați butonul „Setări Centrul de Încredere…” (Trust Center Settings…);
- Selectați „Setări Macrocomenzi” (Macro Settings) în panoul din stânga, apoi alegeți una din opțiunile:
- Dezactivați toate macrocomenzile fără notificare (Disable all macros without notification) - macrocomenzile și alertele de securitate referitoare la macrocomenzi sunt dezactivate;
- Notificări pentru macrocomenzi semnate digital, toate celelalte macrocomenzi dezactivate (Notifications for digitally signed macros, all other macros disabled) - macrocomenzile sunt dezactivate, și apar alerte de securitate dacă există macrocomenzi nesemnate digital. Cu toate acestea, dacă macrocomanda este semnată digital de un editor de încredere, macrocomanda va fi executată fără probleme;
- Dezactivați toate macrocomenzile cu notificare (Disable all macros with notification) - Macrocomenzile sunt dezactivate, dar apar alerte de securitate dacă există macrocomenzi prezente. Utilizați această setare pentru a permite macrocomenzile pentru fiecare situație individual;
- Apăsați „OK“, apoi închideți și redeschideți Outlook pentru ca setările să aibă efect.
Protejarea împotriva virusurilor macro și a altor amenințări cibernetice începe cu măsuri preventive și conștientizare. Dezactivarea macrocomenzilor în aplicațiile Microsoft Office și evitarea deschiderii atașamentelor și a e-mail-urilor suspecte sunt metode eficiente în prevenirea infecțiilor cu ransomware și alte tipuri de malware. Fiind precaut și conștient, poți să reduci semnificativ riscul de a cădea victimă a atacurilor cibernetice și să-ți păstrezi informațiile în siguranță.