Όπως πιθανότατα γνωρίζετε, οι περισσότεροι κρυπτο-ιοί και προγράμματα ransomware μεταδίδονται μέσω μηνυμάτων email τα οποία περιέχουν συνήθως αρχεία του Microsoft Office (.doc, .docx, .xls, .xlsx κτλ). Σας έρχεται κάποιο email από κάποιον ο οποίος μπορεί και να είναι άγνωστος, πελάτης σας ή συνεργάτης (δεν είναι σπάνιες οι περιπτώσεις που ιοί χρησιμοποιούν υπολογιστές οι οποίοι έχουν μολυνθεί ως μέσο για την αποστολή email με κακόβουλο περιεχόμενο). Στο email αυτό έρχεται ως συνημμένο κάποιο έγγραφο το οποίο έχει τίτλο invoice, offer, refund, request κ.ο.κ. το οποίο συνήθως όταν το ανοίξετε περιέχει χαρακτήρες οι οποίοι δεν βγάζουν νόημα.
Δείτε την παρακάτω εικόνα:
Όπως βλέπετε στο κάτω μέρος από την γραμμή εργαλείων υπάρχει μία προειδοποίηση ασφαλείας η οποία σας ενημερώνει πως οι μακροεντολές είναι απενεργοποιημένες και αν πατήσετε στο κουμπί Options μπορείτε να ενεργοποιήσετε τις μακροεντολές και να διαβάσετε το αρχείο.
Το πρόβλημα είναι πως η μακροεντολή είναι ένα μικροσκοπικό πρόγραμμα που βρίσκεται ενσωματωμένο μέσα στο αρχείο Word και μπορεί να κάνει σχεδόν ότι και ένα οποιοδήποτε άλλο πρόγραμμα. Παραδείγματος χάρη, μπορεί να συνδεθεί σε κάποιον απομακρυσμένο διακομιστή (server) και να κατεβάσει κάποιο πρόγραμμα, να το εκτελέσει και από εκεί ξεκινάν τα προβλήματα.
Με άλλα λόγια, όταν σας έρχεται ένα email το οποίο σας λέει να ενεργοποιήσετε τις μακροεντολές σε ένα έγγραφο του Word, είναι το ίδιο επικίνδυνο με το να σας πει να τρέξετε ένα εκτελέσιμο αρχείο για να μπορέσετε να διαβάσετε ένα κείμενο.
Οι μακροεντολές δεν εκτελούνται εξ αρχής, για λόγους ασφαλείας, αλλά και ο αποκλεισμός εκτέλεσης σε όλα τα αρχεία μπορεί να προκαλέσει προβλήματα, μιας και πολλά έγγραφα Word και Excel χρησιμοποιούν μακροεντολές για να κάνουν χρήσιμα πράγματα όπως την πραγματοποίηση περίπλοκων υπολογισμών ή την συμπλήρωση φορμών.
Σε πολλές περιπτώσεις είναι απαραίτητη η χρήση των μακροεντολών είδικα σε επαγγελματικά περιβάλλοντα. Η Microsoft έχει εισάγει μία καινούρια επιλογή ασφαλείας στο Office 2016 η οποία απαγορεύει την εκτέλεση μακροεντολών από αρχεία τα οποία προέρχονται από το Internet.
Θα μπορούσε αυτό να είναι το τέλος των ransomware?
Η απάντηση δυστυχώς είναι πως “Όχι”.
Τα κακόβουλα προγράμματα, και τα προγράμματα ransomware (όπως οι κρυπτο-ιοί), μπορούν να μεταφερθούν με πολλούς και διαφορετικούς τρόπους.
Οι διάφοροι διαδικτυακοί εγκληματίες χρησιμοποιούν πολλούς και διαφορετικούς τρόπους για να μεταφέρουν τα κακόβουλα προγράμματά τους. Παρόμοια στρατηγική με την παραπάνω είναι τα αρχεία .zip τα οποία συνήθως περιέχουν αρχεία java (επέκταση .js) τα οποία μπορούν να κάνουν ό,τι κάνει και μια μακροεντολή και μάλιστα χωρίς να πρέπει ο χρήστης να δώσει την συγκατάθεσή του.
Τέλος, καλό είναι να θυμόμαστε πως δυστυχώς οι “παραδοσιακοί” τρόποι μεταφοράς κακόβουλων προγραμμάτων δεν εκλείπουν, δηλαδή τα usb stick, τα κακόβουλα site κτλ κτλ.
Αυτό που πρέπει να έχουμε πάντα υπ’ όψιν είναι πως το Antivirus που χρησιμοποιούμε είναι απαραίτητο να είναι ενεργό και ενημερωμένο και πως σε κάθε περίπτωση πρέπει να είμαστε ιδιαίτερα προσεκτικοί με τα αρχεία που εκτελούμε στον υπολογιστή μας.
