Криворукость программистов спасла пользователей Word от опасного трояна-шифровальщика

Несрабатывающий
скрипт в макросе мешает шифровальщику GandCrab заражать
пользователей через документы Word.

Халтура на службебезопасности

Ошибка скрипта внутри вредоносных документов, созданных вMicrosoft Word, препятствует распространению шифровальщика-вымогателя GandCrab.Об этом сообщает ресурс bleepingcomputer.com.

Рассматриваемый шифровальщик распространяется несколькимиразными способами. Один из них заключается в рассылке спама с заархивированнымидокументами Word. Эти документы содержат макросы с VBS-скриптом, который вслучае активации должен скачать и запустить шифровальщик.

Однако, как выяснилось, скрипт срабатывает далеко не всегда.Эксперт по информационной безопасности БрэдДанкан (Brad Duncan) обнаружил, что в компиляторе скрипта содержитсяошибка, блокирующая его исполнение.

Таким образом, некоторое количество потенциальных жертвоказались избавлены от заражения. Впрочем, их вряд ли было много: статистикаресурса id-ransomware.malwarehunterteam.com показывает, что 10-11 апреля 2018г., когда началась спам-рассылка, никакого особенного спада в количествезаражений не произошло, хотя их и так было относительно немного.

word600.jpg

Вирусописатели-халтурщики не смогли доставить проблем пользователям Word

Данкан также предсказал, что, скорее всего, ошибка в скриптебудет быстро исправлена. Когда в феврале 2018 г. компания Bitdefenderобнаружила ошибки в GandCrab и выпустила дешифратор для него, злоумышленникименее чем через неделю выпустили исправленный вариант.

Спам неэффективен

Данкан отметил, что такие рассылки сегодня в принципе неочень эффективны. «Чтобы заразиться, потенциальные жертвы должны были выйти изрежима защищенного просмотра и, проигнорировав все предупреждения безопасности,разрешить запуск макросов, — заявил Данкан. — Пользователи также с легкостьюмогут активировать политику ограничений ПО (Software Restriction Policies —SRP) или AppLocker, чтобы предотвратить подобные заражения».

«Макросы в документах Word сегодня по умолчанию отключены, —говорит Олег Галушкин, эксперт поинформационной безопасности компании SEC Consult Services, — Это, впрочем, немешает хакерам пытаться заставить пользователей их активировать с помощьювсякого рода социальной инженерии. Иногда эти попытки оказываются успешными, ипользователи действительно игнорируют все предупреждения и запускают макросы,наживая себе крупные неприятности. Если документ поступает не из проверенного иперепроверенного источника, активировать макросы нельзя ни в коем случае».