專感染 Microsoft Word 的 Normal 範本的勒索病毒: qkG

可自我繁殖的文件加密勒索病毒

最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本，純粹以 VBA 巨集所撰寫，這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式，會感染 Microsoft Word 的 Normal 範本 (normal.dot)，也就是所有新增空白 Word 文件所使用的範本。

從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC)，而非在外活躍的惡意程式。但儘管如此，qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出，其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如，當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時，它還沒有比特幣（Bitcoin）位址。但短短兩天之後就有了，而且還增加了一個會在特定日期和時間加密文件的行為。隔天，我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。

值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒

qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒，而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外，它也是少數使用巨集來撰寫惡意程式碼的病毒之一，其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。

qkG 採用巨集撰寫惡意程式碼的作法，類似 .lukitus 勒索病毒 (Locky 勒索病毒變種之一)，後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過，qkG 只會將文件加密，但 .lukitus 的巨集卻會下載並協助執行勒索病毒，被下載的勒索病毒才會將感染系統上的目標檔案加密。

其他 qkG 值得注意的行為還有會將文件內容加密，但檔案結構及檔案名稱卻維持不變。此外，也不會在系統上產生勒索訊息檔案，因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument)，換句話說，只有已開啟的文件才會被加密。

圖 1：qkG 內容中的字串顯示其名稱和作者。

這些樣本都是從越南上傳至 VirusTotal 網站，而且內含一些越南文的程式備註。詳細查看巨集惡意程式的內容就會發現其作者將該病毒命名為「qkG」。此外，還有一個字串：「TNA-MHT-TT2」，我們推測這應該是作者的代號。

感染過程:
當受害者啟用巨集時，其 Word 軟體的 normal.dot 範本就會受到感染 (被加入惡意巨集)。此後，每當 Word 程式啟動，被感染的 normal.dot 範本就會載入執行。

首先，惡意巨集會降低 Word 的安全設定，讓它不再要求使用者啟用巨集。惡意程式修改安全設定的方式隨 Office 版本而定，包括：

修改幾個系統登錄機碼來停用受保護的檢視 (PV)：DisableAttachmentsInPV、DisableInternetFilesInPV、DisableUnsafeLocationsInPV。
停用防止來自網路的 Excel 檔案執行巨集的功能 (Blockcontentexecutionfrominternet)。
停用 VBA 物件模型的程式操控介面 (AccessVBOM)。
將安全等級設定成「低」(共分為高、中、低三級) 。

上述修改完成之後，qkG 接著就會感染 normal.dot 範本。它會加入一個 Document_Close() autostart 巨集然後將自己複製進去。

圖 2：加入 normal.dot 範本的惡意巨集。

qkG 如何運作?
當使用者開啟一個尚未感染的文件時，一開始並不會有任何事情發生。但是當使用者關閉該文件時，qkG 就會將檔案內容加密。此外，它還會顯示一個訊息，裡面包含了電子郵件地址和比特幣位址，以及加密過的文件內容。同時，qkG 也會在被加密的文件當中加入 Document_Open() autostart 巨集，並將自己複製到被加密的文件當中。這表示，只要在一台乾淨的電腦上開啟該文件，就可以重複同樣的感染流程。

圖 3：檔案遭到加密之後顯示給受害者看的勒索訊息。

歹徒採用的加密方法是一個非常簡單的 XOR 加密演算法。加密金鑰永遠相同，而且內含在每個被加密的文件當中。

假設我們建立了一個文件，文件內容包含這串文字：「1234567890」。在一台已感染的電腦上，當文件關閉時，其奇數字元會被拿來與一串固定的密碼「I’m QkG@PTM17! by TNA@MHT-TT2」當中對應位置的字元進行 XOR 運算，偶數字元則原封不動。包含「1234567890」這串文字的文件加密之後的結果如上圖所示。

以下詳細說明此範例：
1 2 3 4 5 6 7 8 9 0
31 00 32 00 33 00 34 00 35 00 36 00 37 00 38 00 39 00 30 00
31 XOR 49 (I) = 78
32 原封不動
33 XOR 27 (‘) = 14
34 原封不動

雜湊碼「2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571」的 qKG 樣本當中含有一段解密程式碼。然而這段程式碼並未用到，因此沒有作用。由此可推測惡意程式可能還在開發當中，其他樣本的情況也類似。

圖 4：某個 qkG 樣本當中的解密程式碼。

雜湊碼「2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e」的 qkG 樣本當中尚未實作加密程式碼。只有一些用來當成待辦事項清單的程式碼備註。請注意，以下程式碼備註中所提到的剪貼簿在最終變種當中並未用到。

圖 5：另一個 qkG 樣本，內容僅有一些程式備註記載著代辦事項。

雜湊碼「e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66」的 qkG 樣本並不會感染所有關閉的檔案。因為它增加了一個條件，那就是當天的「星期」 (1 = 星期日，2 = 星期一，依此類推)，必須等於當前時間的「分」除以 10 之後的餘數。例如：若文件關閉的時間是在星期日 (數值=1) 的 xx 點 x1 分，(其中 x 是任意數)，檔案就會被加密。

圖 6：某個 qkG 變種判斷是否要將檔案加密的程式碼。

我們查了一下該病毒的比特幣位址之後發現，該位址目前還沒有任何交易：

圖 7：qkG 的比特幣位址截至 2017 年 11 月 17 日為止的交易記錄。

防範之道
儘管 qkG 目前並未造成太大影響，但其使用惡意巨集的技巧卻值得注意。而且，就像其他勒索病毒家族一樣，我們預料這項技巧將不斷改進、擴大並且應用至其他網路攻擊。

停用巨集可大幅降低巨集惡意程式 (例如 qKG) 的風險。此外，使用者應養成良好的網路安全習慣，謹守勒索病毒最佳防範原則：隨時保持系統與應用程式更新、定期備份資料，針對一些駭客可能利用的系統工具和功能加以管制。更重要的是，要隨時保持網路資安意識。以巨集為基礎的惡意程式，通常會搭配檔案/文件以及社交工程誘餌。畢竟，資安技術再怎麼強，人還是最重要的因素。

趨勢科技解決方案
趨勢科技 XGen安全防護能提供跨世代融合的威脅防禦技巧，完整防範各式各樣的威脅，保護資料中心、雲端環境、網路以及端點。它藉由高準度的機器學習來保護閘道與端點資料和應用程式，保護實體、虛擬及雲端工作附載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析，來防範今日針對企業量身訂做的威脅，這些威脅不僅能避開傳統資安防禦，更能利用已知、未知或尚未公開的漏洞，竊取個人身分識別資訊或將資料加密。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

入侵指標：
RANSOM_CRYPTOQKG.A 各樣本的雜湊碼 (SHA-256)：