友情提示:本文共有 946 个字,阅读大概需要 2 分钟。
趋势科技安全研究员Jaromir Horejsi在本月初通过VirusTotal(一个提供免费的可疑文件分析服务的网站)发现了一款正处于开发阶段的新型勒索软件,名为“qkG”。并且,其开发者正不间断的持续发布新的版本。
qkG只将目标定于加密受害者的Office Word 文档。它首先会通过恶意宏感染Office Word的默认文档模板,这使得它拥有“自我复制”能力。具体来讲,每当受害者在受感染设备上新建一个word文档,qkG都能对其进行加密。
qkG感染设备需要经历以下几个步骤:
第1步:受害者下载并打开受感染的Word文档。
第2步:打开文档后,会显示一个警告窗口,提示受害者需要通过单击“启用内容”按钮来启用宏。这将允许执行宏脚本,而其中就包含了恶意VBA代码。
qkG完全包含在宏脚本中,这是一个奇怪的现象,因为大多数勒索软件只是使用宏脚本来下载并运行它们的主要二进制文件。
第3步: qkG代码开始执行,但受害者不会看到有任何异常现象。这是因为qkG采用了onClose函数来执行恶意代码,也就是说只有在受害者关闭Word文档时恶意代码才会真正执行。
第4步:当受害者关闭Word文档后,恶意代码将进行以下操作:
降低多项Office Word安全设置,以允许宏脚本自动执行,并禁用“受保护的视图”;
将qkG勒索代码附加到Office Word默认文档模板normal.dot;
对当前文档内容进行一个简单的异或加密;
在当前文档内容末尾附上赎金说明,但不会更改文件名或文件扩展名。
qkG最具威胁性的地方就在于它修改了normal.dot模板,并附加了一个自己的恶意副本。这意味着无论受害者何时使用 Office Word创建新文档,恶意normal.dot模板都将被加载并执行。
Horejsi强调,qkG目前还处于开发阶段,其开发者正在不断上传新的版本,并且每个新版本都会增加一些新的功能。
Horejsi在qkG样本中发现了一些证据,透露着qkG的开发者可能来自越南。首先,qkG开发者的名字显示为“TNA-MHT-TT2”;其次,qkG的代码中也包含了大量越语单词;最后,分发qkG的IP地址也位于越南。
本文由 黑客视界 综合网络整理,图片源自网络;转载请注明“转自黑客视界”,并附上链接。
本文如果对你有帮助,请点赞收藏《启用“宏”需谨慎:新型Word文档勒索软件qkG来袭》,同时在此感谢原作者。