趋势科技上周公布一支锁定Office文件而来的勒索软件qkG filecoder,还会藉由感染Microsoft Office Word的范例档以自我复制。
趋势科技研究人员Jaromir Horejsi是在本月越南每天上传至Google的VirusTotal档案扫瞄工具的大量可疑档案中发现qkG,档案程式码包含些许越文,甚至还有作者代号TNA-MHT-TT2。
这只名为qkG filecoder的勒索软件很特别的是,它只锁定单一种档案类型,而且也是少数完全以VBA巨集实作而成的档案加密恶意程式。且不同於一般勒索软件利用巨集下载勒索软件,它运用恶意巨集的方式也很罕见。
研究人员解释,新病毒和Locky其中一种变种勒索软件。lukitus很类似,都是使用Auto Close VBA巨集,会在使用者关闭文件後才执行,只是。lukitus会下载并执行勒索软件,再来加密目标档案,而qkG只搅乱Office文件档程式码。因此qkG很特殊的是,它只加密文件内容,却不破坏档案结构,而且也未变更档名,也没有一般勒索软件会有的勒索讯息。此外也只有曾开启的文件才会被加密。
qkG最值得注意的是它会修改Office Word的normal.dot范例档,附在这个档案上。这表示未来使用者再开启Word,就会再次载入并执行,并且感染、加密其他文件档。所幸qkG用的是很简单的XOR加密技巧,不但解密金钥都一样,而且也都可见於被加密的文件中。
基於qkG的现有观察,研究人员表示它目前看来比较像概念验证勒索软件,而非已经开始流传的恶意程式。但是qkG在研究过程中一直经过改良,原本连比特币钱包位址也没有,两天後的版本就加入,而且还多了可在特定日期、时间加密文件机制,接着新版本又衍生新的行为。由於qkG 使用恶意巨集的行为相当特殊,研究人员相信未来可能改造、扩展成具有威胁性的网路攻击。
