Η company security Heimdal Security revealed a new ransomware campaign, which, to date, remains unrecognized by any of the 57 productthe security found in Google's VirusTotal antivirus aggregator.
The new ransomware spreads to Scandinavia using spam emails, which come with a Word document attached. This file is trapped with a malicious macro that, when the document opens, executes and downloads the ransomware on the victim's computer.
Όταν κατέβει το ransοmware κρυπτογραφεί άμεσα τα σημαντικότερα έγγραφα του χρήστη, και αλλάζει την κατάληξη των αρχείων σε ".breaking_bad".
Access to encrypted archives is impossible unless their owners pay the ransom.
The Word macro that uses το ransοmware, έχει χρησιμοποιηθεί επίσης και από μια κινεζική ομάδα hacking which targeted Russian military bases.
The reason why this technique is so dear to hackers is because it allows them to create malicious files that do not seem to be malicious at all.
This is probably the reason why ransomware is not detected by VirusTotal.
Τα έγγραφα του Word μοιάζουν με οποιαδήποτε άλλα έγγραφα του Word, και δεν περιέχουν κάποιο κακόβουλο φορτίο, εκτός από μερικές οδηγίες "για να κατεβάσουν ένα αρχείο από το Web" από ένα macro.
This file can be anything: an image, a CSS file, or a malware. So the only way to protect against such threats is to educate users not to open any files on the Internet that come from unknown people, even if they promise.