微软恶意软件保护中心的研究人员警告用户，黑客使用了一种潜在的高风险新宏技巧来激活勒索软件程序。 恶意宏程序针对Office应用程序，它是一个Word文件，其中包含七个非常熟练地隐藏的VBA模块和一个VBA用户表单。

当研究人员首次检查恶意宏时，他们无法检测到它，因为VBA模块看起来像是由宏提供动力的合法SQL程序。 再看一看，他们意识到宏实际上是一个包含加密字符串的恶意代码。

但是，没有立即明显的迹象表明该文件实际上是恶意的。 这是一个Word文件，其中包含七个VBA模块和一个带有几个按钮（使用CommandButton元素）的VBA用户表单。 但是，在进一步调查之后，我们在用户窗体的CommandButton3的Caption字段中发现了一个奇怪的字符串。

我们回过头来查看了文件中的其他模块，果然– Module2中发生了一些异常。 那里的宏（ UsariosConectados ）解密CommandButton3的Caption字段中的字符串，该字符串原来是URL。 打开文档时，它使用deault autoopen（） 宏运行整个VBA项目。

宏会连接到网址（ hxxp：//clickcomunicacion.es/ ）下载检测为Ransom：Win32 / Locky（SHA1：b91daa9b78720acb2f008048f5844d8f1649a5c4）的有效负载。 当用户启用Office文件中的宏时，它将激活。

避免通过基于Office的基于宏的恶意软件使计算机感染病毒的唯一方法是仅在您自己编写宏或完全信任编写它们的人时启用宏。 您还可以安装BitDefender的AntiRansomware工具，这是一个独立工具，不需要安装Bitdefender安全性。 与其他免费的安全工具不同，BDAntiRansomware不会用广告来困扰您。

如果您成为勒索软件攻击的目标，则可以使用ID Ransomware这个工具来识别用于加密数据的勒索软件。 您所要做的就是将受感染的文件或恶意软件显示的消息上传到屏幕上。 ID勒索软件目前可以检测到55种勒索​​软件，但不提供任何文件恢复服务。