Malware Macro

Znany również jako: Wirus Macro
Typ: Trojan
Dystrybucja: Niska
Poziom zniszczenia: Silny

Poradnik usuwania malware Macro

Czym jest Macro Malware?

Malware Macro (znane również jako Microsoft Office Macro Virus lub Simply Macro Virus) to ogólna nazwa infekcji systemowych rozsyłanych za pomocą poleceń makr Microsoft Office. Cyberprzestępcy projektują dokumenty MS Office i sprawiają, że wykonują one polecenia, które pobierają i instalują wirusy w systemie. W większości przypadków takie infekcje są rozprowadzane za pomocą kampanii spamowych.

Macro Malware

Cyberprzestępcy wysyłają tysiące oszukańczych wiadomości e-mail z komunikatami zachęcającymi użytkowników do otworzenia załączonych dokumentów MS Office. Aby być bardziej wiarygodnymi, oszuści często udają pracowników popularnych firm/banków/agencji rządowych i prezentują załączniki jako rachunki, faktury lub inne ważne dokumenty. Po otwarciu załącznik natychmiast wyświetla wiadomość zachęcającą użytkowników do włączenia makr poleceń, w przeciwnym razie treść nie będzie wyświetlana poprawnie. Jednak dzięki temu załączniki mogą uruchamiać skrypty, które wprowadzają malware do systemu. Zwykle ta taktyka służy do rozsyłania infekcji trojańskich (np. TrickBot, FormBook, Adwind, Emotet i wielu innych). Obecność takich infekcji może prowadzić do różnych problemów. Po pierwsze, warto wspomnieć, że większość infekcji rozsyłanych za pomocą makr MS Office ma na celu zbieranie poufnych danych (np. loginów/haseł, informacji bankowych itp.). Oznacza to, że cyberprzestępcy mogą ukraść tożsamość ofiary, a także wszystkie pieniądze przechowywane na przejętych rachunkach bankowych. W niektórych przypadkach dystrybuowane wirusy mają na celu wywoływanie „infekcji łańcuchowych". Innymi słowy, trojany infiltrują komputery i kontynuują wprowadzanie dodatkowych wirusów (np. ransomware). Podsumowując, otwarcie złośliwego dokumentu MS Office może ostatecznie doprowadzić do poważnych problemów prywatności, a także znacznych strat finansowych/danych i trwałego uszkodzenia systemu. Dlatego jeśli niedawno otworzyłeś podejrzane pliki i pozwoliłeś im na uruchamianie makr, powinieneś natychmiast przeskanować system za pomocą sprawdzonego oprogramowania antywirusowego/antyszpiegowskiego i wyeliminować wszystkie wykryte zagrożenia.

Istnieją dziesiątki kampanii spamowych e-mail używanych do rozsyłania złośliwych dokumentów MS Office. Na przykład "USPS Email Virus", "Royal Bank Of Canada Email Virus", "Scotiabank Email Virus", "Love Letter Email Virus" itd. Jak wspomniano powyżej, oszuści wysyłają wiadomości zachęcające użytkowników do otworzenia załączonych plików. Problem polega na tym, że istnieją tysiące nieostrożnych i łatwowiernych użytkowników, którzy uwierzą w każdą sztuczkę. Często mają nadzieję, że dostaną coś za darmo (zwłaszcza, gdy wiadomość mówi, że odbiorca otrzymał przesyłkę, pieniądze zostały przelane na jego konto lub coś w tym stylu). Dlatego oszuści mogą łatwo nadużywać ciekawość i lekkomyślność użytkowników.

W jaki sposób malware Macro przeniknęło do mojego komputera?

Jak wspomniano powyżej, złośliwe dokumenty Microsoft Office (Word, Excel, Powerpoint itp.) Wymagają od użytkowników włączenia poleceń makr (w większości przypadków twierdzi się, że zawartość nie będzie wyświetlana, dopóki makra nie zostaną włączone). Po włączeniu makra są używane do komunikacji ze zdalnym serwerem i pobierania/instalowania malware. Cyberprzestępcy w zasadzie wykorzystują programowanie VBA (Visual Basic for Applications) wbudowane w pakiecie Microsoft Office w celu rozsyłania infekcji i generowania przychodów.

Jak uniknąć instalacji malware?

Aby temu zapobiec, użytkownicy muszą zachowywać ostrożność podczas przeglądania Internetu. Nigdy nie otwieraj żadnych załączników w wiadomości e-mail (linków/plików), które są nieistotne i/lub zostały wysłane z podejrzanego/nierozpoznawalnego adresu e-mail. Należy pamiętać, że takie wiadomości e-mail często zawierają fałszywe treści nalegające na otwieranie załączonych plików/linków. Dlatego nigdy nie daj się na to nabrać. Innym sposobem odróżnienia jest sprawdzenie adresu e-mail nadawcy. Niektórzy oszuści używają tak zwanej metody „spoofingu", która pozwala im fałszować adres e-mail nadawcy. Używają jej, aby wyglądało na to, jakby odbiorca otrzymał wiadomość e-mail od samego siebie. Oszuści mogą również wykorzystywać porwane wiadomości e-mail i konta w sieciach społecznościowych (Facebooka, Twittera i inne) lub komunikatory (Skype, Messenger itp.) do rozsyłania złośliwych plików MS Office. Dlatego jeśli otrzymasz podejrzany plik od dowolnego kontaktu, nie otwieraj niczego, nie upewniając się najpierw, że jest bezpieczny. Zalecamy również używanie wersji 2010 lub nowszej MS Office, ponieważ mają one wbudowany tryb „Widoku chronionego", który zapobiega automatycznemu wykonywaniu makr. Bardzo przydatne jest również posiadanie renomowanego oprogramowania antywirusowego/antyspyware, ponieważ wykrywa ono i eliminuje malware, zanim system zostanie uszkodzony. Jeśli uważasz, że twój komputer jest już zainfekowany, zalecamy wykonanie skanowania za pomocą Spyhunter, aby automatycznie wyeliminować infiltrujące malware.

Przykłady złośliwych dokumentów pakietu Microsoft Office z prośbą o włączenie makropoleceń:

Infectious Microsoft Office document distributing viruses via macro commands (sample 1) Infectious Microsoft Office document distributing viruses via macro commands (sample 2) Infectious Microsoft Office document distributing viruses via macro commands (sample 3)

Przykłady spamowych kampanii e-mailowych rozsyłających złośliwe załączniki Microsoft Office:

Deceptive email spreading a malicious Microsoft Office document (sample 1) Deceptive email spreading a malicious Microsoft Office document (sample 2) Deceptive email spreading a malicious Microsoft Office document (sample 3)

Natychmiastowe automatyczne usunięcie Wirus Macro: Ręczne usuwanie zagrożenia może być długim i skomplikowanym procesem, który wymaga zaawansowanych umiejętności obsługi komputera. Spyhunter to profesjonalne narzędzie do usuwania złośliwego oprogramowania, które jest zalecane do pozbycia się Wirus Macro. Pobierz go klikając poniższy przycisk:
▼ POBIERZ Spyhunter Bezpłatny skaner sprawdza, czy twój komputer został zainfekowany. Aby usunąć malware musisz zakupić pełną wersję Spyhunter. Pobierając jakiekolwiek oprogramowanie wyszczególnione na tej stronie zgadzasz się z naszą Polityką prywatności oraz Regulaminem.

Szybkie menu:

Jak manualnie usunąć malware?

Ręczne usuwanie malware jest skomplikowanym zadaniem. Zwykle lepiej jest pozwolić programom antywirusowym lub anty-malware zrobić to automatycznie. Aby usunąć to malware zalecamy użycie  Spyhunter. Jeśli chcesz manualnie usunąć malware, pierwszym krokiem jest zidentyfikowanie jego nazwy. Oto przykład podejrzanego programu uruchomionego na komputerze użytkownika:

malicious process running on user's computer sample

Jeśli zaznaczyłeś listę programów uruchomionych na komputerze, na przykład używając menedżera zadań i zidentyfikowałeś program, który wygląda podejrzanie, powinieneś wykonać te kroki:

manual malware removal step 1 Pobierz program o nazwie Autoruns. Pokazuje on automatyczne uruchamianie aplikacji, rejestr i lokalizacje systemów plików:

screenshot of autoruns application

manual malware removal step 2Uruchom ponownie swój komputer w trybie awaryjnym:

Użytkownicy Windows XP i Windows 7: Uruchom swój komputer w Trybie awaryjnym z obsługą sieci: Kliknij przycisk Start, kliknij polecenie Zamknij, kliknij opcję Uruchom ponownie, kliknij przycisk OK. Podczas uruchamiania komputera naciśnij klawisz F8 na klawiaturze tak wiele razy, aż zobaczysz Menu opcji zaawansowanych systemu Windows, a następnie wybierz opcję Tryb awaryjny z obsługą sieci z listy.

Safe Mode with Networking

Film pokazujący jak uruchomić system Windows 7 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 8: Przejdź do ekranu startowego Windows 8, wpisz Advanced. W wynikach wyszukiwania wybierz opcję Ustawienia. Kliknij na zaawansowane opcje startowe. W otwartym oknie „Ogólne ustawienia komputera" wybierz Zaawansowane uruchamianie. Kliknij przycisk "Uruchom ponownie teraz". Komputer zostanie ponownie uruchomiony w "Menu zaawansowanych opcji uruchamiania." Kliknij przycisk "Rozwiązywanie problemów", a następnie kliknij przycisk "Opcje zaawansowane". Na ekranie zaawansowanych opcji kliknij "Ustawienia uruchamiania." Kliknij przycisk "Restart". Komputer uruchomi się ponownie do ekranu Ustawienia startowe. Naciśnij "5", aby uruchomić w Trybie awaryjnym z obsługą sieci.

Windows 8 Safe Mode with networking

Film pokazujący, jak uruchomić Windows 8 w "Trybie awaryjnym z obsługą sieci":

Użytkownicy Windows 10: Kliknij logo Windows i wybierz ikonę Zasilania. W otwartym menu kliknij "Uruchom ponownie" przytrzymując przycisk "Shift" na klawiaturze. W oknie "wybierz opcję" kliknij przycisk "Rozwiązywanie problemów", a następnie wybierz opcję "Opcje zaawansowane". W menu zaawansowanych opcji wybierz "Ustawienia uruchamiania" i kliknij przycisk "Uruchom ponownie". W poniższym oknie powinieneś kliknąć przycisk "F5" na klawiaturze. Spowoduje to ponowne uruchomienie systemu operacyjnego w trybie awaryjnym z obsługą sieci.

windows 10 safe mode with networking

Film pokazujący jak uruchomić Windows 10 w "Trybie awaryjnym z obsługą sieci":

 

manual malware removal step 3Wyodrębnij pobrane archiwum i uruchom plik Autoruns.exe.

extract autoruns.zip and run autoruns.exe

manual malware removal step 4W aplikacji Autoruns kliknij „Opcje" u góry i odznacz opcje „Ukryj puste lokalizacje" i „Ukryj wpisy Windows". Po tej procedurze kliknij ikonę „Odśwież".

Click 'Options' at the top and uncheck 'Hide Empty Locations' and 'Hide Windows Entries' options

manual malware removal step 5Sprawdź listę dostarczoną przez aplikację Autoruns i znajdź plik malware, który chcesz wyeliminować.

Powinieneś zapisać pełną ścieżkę i nazwę. Zauważ, że niektóre malware ukrywa swoje nazwy procesów pod prawidłowymi nazwami procesów systemu Windows. Na tym etapie bardzo ważne jest, aby unikać usuwania plików systemowych. Po zlokalizowaniu podejrzanego programu, który chcesz usunąć, kliknij prawym przyciskiem myszy jego nazwę i wybierz „Usuń"

locate the malware file you want to remove

Po usunięciu malware za pomocą aplikacji Autoruns (zapewnia to, że malware nie uruchomi się automatycznie przy następnym uruchomieniu systemu), należy wyszukać jego nazwę na komputerze. Przed kontynuowaniem należy włączyć ukryte pliki i foldery. Jeśli znajdziesz plik malware, upewnij się, że go usunąłeś.

searching for malware file on your computer

Uruchom ponownie komputer w normalnym trybie. Wykonanie poniższych czynności powinno pomóc w usunięciu malware z twojego komputera. Należy pamiętać, że ręczne usuwanie zagrożeń wymaga zaawansowanych umiejętności obsługi komputera. Zaleca się pozostawienie usuwania malware programom antywirusowym i zabezpieczającym przed malware. Te kroki mogą nie działać w przypadku zaawansowanych infekcji malware. Jak zawsze lepiej jest uniknąć infekcji, niż później próbować usunąć malware. Aby zapewnić bezpieczeństwo swojego komputera, należy zainstalować najnowsze aktualizacje systemu operacyjnego i korzystać z oprogramowania antywirusowego.

Aby mieć pewność, że twój komputer jest wolny od infekcji malware, zalecamy jego skanowanie za pomocą Spyhunter.