趨勢科技上周公布一支鎖定Office文件而來(lái)的勒索軟件qkG filecoder,還會(huì )藉由感染Microsoft Office Word的范例檔以自我復制。
趨勢科技研究人員Jaromir Horejsi是在本月越南每天上傳至Google的VirusTotal檔案掃瞄工具的大量可疑檔案中發(fā)現qkG,檔案程式碼包含些許越文,甚至還有作者代號TNA-MHT-TT2。
這只名為qkG filecoder的勒索軟件很特別的是,它只鎖定單一種檔案類(lèi)型,而且也是少數完全以VBA巨集實(shí)作而成的檔案加密惡意程式。且不同於一般勒索軟件利用巨集下載勒索軟件,它運用惡意巨集的方式也很罕見(jiàn)。
研究人員解釋?zhuān)虏《竞蚅ocky其中一種變種勒索軟件。lukitus很類(lèi)似,都是使用Auto Close VBA巨集,會(huì )在使用者關(guān)閉文件後才執行,只是。lukitus會(huì )下載并執行勒索軟件,再來(lái)加密目標檔案,而qkG只攪亂Office文件檔程式碼。因此qkG很特殊的是,它只加密文件內容,卻不破壞檔案結構,而且也未變更檔名,也沒(méi)有一般勒索軟件會(huì )有的勒索訊息。此外也只有曾開(kāi)啟的文件才會(huì )被加密。
qkG最值得注意的是它會(huì )修改Office Word的normal.dot范例檔,附在這個(gè)檔案上。這表示未來(lái)使用者再開(kāi)啟Word,就會(huì )再次載入并執行,并且感染、加密其他文件檔。所幸qkG用的是很簡(jiǎn)單的XOR加密技巧,不但解密金鑰都一樣,而且也都可見(jiàn)於被加密的文件中。
基於qkG的現有觀(guān)察,研究人員表示它目前看來(lái)比較像概念驗證勒索軟件,而非已經(jīng)開(kāi)始流傳的惡意程式。但是qkG在研究過(guò)程中一直經(jīng)過(guò)改良,原本連比特幣錢(qián)包位址也沒(méi)有,兩天後的版本就加入,而且還多了可在特定日期、時(shí)間加密文件機制,接著(zhù)新版本又衍生新的行為。由於qkG 使用惡意巨集的行為相當特殊,研究人員相信未來(lái)可能改造、擴展成具有威脅性的網(wǎng)路攻擊。
