勒索軟體瞄準Office文件而來,還會感染Word範例檔自我繁殖

勒索軟體瞄準Office文件而來,還會感染Word範例檔自我繁殖 趨勢科技發現勒索軟體qkG filecoder鎖定單一檔案型,並且是少數完全以VBA巨集實作而成,和一般勒索軟體不同的是,它使用Auto Close VBA巨集,在使用者關閉文件後才執行,而且只加密文件內容,而不破壞檔案結構、竄改檔名。 文/林妍溱 | 2017-11-27發表 示意圖,與新聞事件無關。 趨勢科技上周公佈一支鎖定Office文件而來的勒索軟體qkG filecoder,還會藉由感染Microsoft Office Word的範例檔以自我複製。 趨勢科技研究人員Jaromir Horejsi是在本月越南每天上傳至Google的VirusTotal檔案掃瞄工具的大量可疑檔案中發現qkG,檔案程式碼包含些許越文,甚至還有作者代號TNA-MHT-TT2。 這隻名為qkG filecoder的勒索軟體很特別的是,它只鎖定單一種檔案類型,而且也是少數完全以VBA巨集實作而成的檔案加密惡意程式。且不同於一般勒索軟體利用巨集下載勒索軟體,它運用惡意巨集的方式也很罕見。研究人員解釋,新病毒和Locky其中一種變種勒索軟體.lukitus很類似,都是使用Auto Close VBA巨集,會在使用者關閉文件後才執行,只是.lukitus會下載並執行勒索軟體,再來加密目標檔案,而qkG只攪亂Office文件檔程式碼。因此qkG很特殊的是,它只加密文件內容,卻不破壞檔案結構,而且也未變更檔名,也沒有一般勒索軟體會有的勒索訊息。此外也只有曾開啟的文件才會被加密。 qkG最值得注意的是它會修改Office Word的normal.dot範例檔,附在這個檔案上。這表示未來使用者再開啟Word,就會再次載入並執行,並且感染、加密其他文件檔。所幸qkG用的是很簡單的XOR加密技巧,不但解密金鑰都一樣,而且也都可見於被加密的文件中。 基於qkG的現有觀察,研究人員表示它目前看來比較像概念驗證勒索軟體,而非已經開始流傳的惡意程式。但是qkG在研究過程中一直經過改良,原本連比特幣錢包位址也沒有,兩天後的版本就加入,而且還多了可在特定日期、時間加密文件機制,接著新版本又衍生新的行為。由於qkG 使用惡意巨集的行為相當特殊,研究人員相信未來可能改造、擴展成具有威脅性的網路攻擊。 iThome Security

更多訊息更多資料都在這裡喔!~蝦紅素~力雪達~蝦青素~芙婷寶~超視王~保健食品~蚯蚓粉~智勝王~膠骨力~地龍粉~南極冰洋磷蝦油~青春元素~蜂王乳~膠股力~磷蝦油~血栓溶解酵素~地龍酵素~健康食品~PPLS~蜂王漿~葉黃素

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *