Các nhà nghiên cứu của Mimecast nhận định, những kẻ tấn công đang sử dụng một bảng tính Excel được bảo vệ bằng mật khẩu để che giấu mã độc. Khi kẻ tấn công thêm mật khẩu vào một tệp, Excel sẽ tự động mã hóa nội dung của tệp, giúp nó dễ dàng lẩn tránh các phần mềm diệt virus, bởi đa số các phần mềm diệt virus không thể giải mã được các tệp này. Thông thường, kẻ tấn công cần sử dụng kỹ nghệ xã hội (social engineering) để thuyết phục nạn nhân nhập mật khẩu mở khóa tệp và thực thi các macro độc hại. Tuy nhiên, Mimecast đã phát hiện ra rằng, nếu người dùng thiết lập tệp thành chỉ đọc (read-only) và sau đó sử dụng mật khẩu mặc định "VelvetSweatshop", Excel sẽ tự động mở khóa tệp khi sử dụng và cho phép chỉnh sửa tài liệu. Điều này có được là do khi Excel mở một tệp bị khóa, nó sẽ cố mở khóa bằng mật khẩu mặc định và chỉ nhắc người dùng nhập mật khẩu khác nếu không thành công.

Sử dụng kỹ thuật lẩn tránh này, phần mềm độc hại sẽ tránh bị phần mềm diệt virus phát hiện dựa theo chữ ký, bởi dữ liệu khi được mã hóa sẽ dễ dàng vượt qua được các phần mềm diệt virus thông thường. Điều này dẫn đến phần mềm độc hại có thể đánh lừa nhiều công cụ kiểm tra.

Thực tế, hầu hết các tổ chức không chặn các tệp mã hóa trong chính sách bảo mật của họ. Nguyên nhân bởi họ muốn gửi các tài liệu được mã hóa hợp pháp để bảo vệ khỏi sự truy cập trái phép. Tuy nhiên, các phần mềm diệt virus sẽ không thể chặn tất cả các tệp được mã hóa (kể cả tập tin không an toàn). Sử dụng bảo vệ nhiều lớp để kiểm tra là giải pháp tốt nhất chống lại phần mềm độc hại. Người dùng không nên mở các tệp Microsoft Office từ các nguồn không xác định. Nếu nhận được một tệp không xác định, yêu cầu nhập mật khẩu, người dùng cũng không nên thử mở nó.

Một giải pháp cho phép giải mã, phát hiện và chặn các phần mềm độc hại mã hóa trước khi chúng kịp thực thi là APT Blocker của hãng WatchGuard (Mỹ) do Công ty ITMAP ASIA phân phối tại Việt Nam. Sản phẩm bao gồm các tính năng: Cung cấp bảo vệ nâng cao chống lại ransomware, các mối đe dọa zero-day và phần mềm độc hại tiên tiến; Phân tích chuyên sâu các tài liệu và văn bản, bao gồm các loại tệp tài liệu văn phòng; Tích hợp với WatchGuard Dimension để tăng khả năng hiển thị báo cáo đầy đủ. 

Bên cạnh đó, APT Blocker cho phép triển khai nhanh chóng như một phần của giải pháp bảo mật tích hợp, cung cấp khả năng xử lý và cảnh báo tự động. Đặc biệt, thời gian phân tích trung bình chỉ dưới 2 phút.

Ngoài ra, hãng WatchGuard vừa triển khai gói dịch vụ WatchGuard Passport. Passport được quản lý và triển khai hoàn toàn trên nền tảng đám mây. Các tính năng xem báo cáo, cảnh báo, cấu hình dịch vụ, triển khai các máy khách điểm cuối và quản lý mã thông báo xác thực đều được thực hiện qua Cloud. Nhờ sự tích hợp với các công cụ bên thứ 3, người dùng có thể khởi động và sử dụng Passport nhanh chóng, dễ dàng. Passport bao gồm tính năng xác thực đa yếu tố (MFA) và bảo vệ truy vấn DNS (DNSWatchGO).