可自我繁殖的文件加密勒索病毒
最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本,純粹以 VBA 巨集所撰寫,這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式,會感染 Microsoft Word 的 Normal 範本 (normal.dot),也就是所有新增空白 Word 文件所使用的範本。
從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC),而非在外活躍的惡意程式。但儘管如此,qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出,其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如,當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時,它還沒有比特幣(Bitcoin)位址。但短短兩天之後就有了,而且還增加了一個會在特定日期和時間加密文件的行為。隔天,我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。
值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒
qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒,而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外,它也是少數使用巨集來撰寫惡意程式碼的病毒之一,其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。
qkG 採用巨集撰寫惡意程式碼的作法,類似 .lukitus 勒索病毒 (Locky 勒索病毒變種之一),後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過,qkG 只會將文件加密,但 .lukitus 的巨集卻會下載並協助執行勒索病毒,被下載的勒索病毒才會將感染系統上的目標檔案加密。
其他 qkG 值得注意的行為還有會將文件內容加密,但檔案結構及檔案名稱卻維持不變。此外,也不會在系統上產生勒索訊息檔案,因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument),換句話說,只有已開啟的文件才會被加密。
圖 1:qkG 內容中的字串顯示其名稱和作者。
這些樣本都是從越南上傳至 VirusTotal 網站,而且內含一些越南文的程式備註。詳細查看巨集惡意程式的內容就會發現其作者將該病毒命名為「qkG」。此外,還有一個字串:「TNA-MHT-TT2」,我們推測這應該是作者的代號。
感染過程:
當受害者啟用巨集時,其 Word 軟體的 normal.dot 範本就會受到感染 (被加入惡意巨集)。此後,每當 Word 程式啟動,被感染的 normal.dot 範本就會載入執行。
首先,惡意巨集會降低 Word 的安全設定,讓它不再要求使用者啟用巨集。惡意程式修改安全設定的方式隨 Office 版本而定,包括:
- 修改幾個系統登錄機碼來停用受保護的檢視 (PV):DisableAttachmentsInPV、DisableInternetFilesInPV、DisableUnsafeLocationsInPV。
- 停用防止來自網路的 Excel 檔案執行巨集的功能 (Blockcontentexecutionfrominternet)。
- 停用 VBA 物件模型的程式操控介面 (AccessVBOM)。
- 將安全等級設定成「低」(共分為高、中、低三級) 。
上述修改完成之後,qkG 接著就會感染 normal.dot 範本。它會加入一個 Document_Close() autostart 巨集然後將自己複製進去。
圖 2:加入 normal.dot 範本的惡意巨集。
qkG 如何運作?
當使用者開啟一個尚未感染的文件時,一開始並不會有任何事情發生。但是當使用者關閉該文件時,qkG 就會將檔案內容加密。此外,它還會顯示一個訊息,裡面包含了電子郵件地址和比特幣位址,以及加密過的文件內容。同時,qkG 也會在被加密的文件當中加入 Document_Open() autostart 巨集,並將自己複製到被加密的文件當中。這表示,只要在一台乾淨的電腦上開啟該文件,就可以重複同樣的感染流程。
圖 3:檔案遭到加密之後顯示給受害者看的勒索訊息。
歹徒採用的加密方法是一個非常簡單的 XOR 加密演算法。加密金鑰永遠相同,而且內含在每個被加密的文件當中。
假設我們建立了一個文件,文件內容包含這串文字:「1234567890」。在一台已感染的電腦上,當文件關閉時,其奇數字元會被拿來與一串固定的密碼「I’m QkG@PTM17! by TNA@MHT-TT2」當中對應位置的字元進行 XOR 運算,偶數字元則原封不動。包含「1234567890」這串文字的文件加密之後的結果如上圖所示。
以下詳細說明此範例:
1 2 3 4 5 6 7 8 9 0
31 00 32 00 33 00 34 00 35 00 36 00 37 00 38 00 39 00 30 00
31 XOR 49 (I) = 78
32 原封不動
33 XOR 27 (‘) = 14
34 原封不動
雜湊碼「2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571」的 qKG 樣本當中含有一段解密程式碼。然而這段程式碼並未用到,因此沒有作用。由此可推測惡意程式可能還在開發當中,其他樣本的情況也類似。
圖 4:某個 qkG 樣本當中的解密程式碼。
雜湊碼「2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e」的 qkG 樣本當中尚未實作加密程式碼。只有一些用來當成待辦事項清單的程式碼備註。請注意,以下程式碼備註中所提到的剪貼簿在最終變種當中並未用到。
圖 5:另一個 qkG 樣本,內容僅有一些程式備註記載著代辦事項。
雜湊碼「e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66」的 qkG 樣本並不會感染所有關閉的檔案。因為它增加了一個條件,那就是當天的「星期」 (1 = 星期日,2 = 星期一,依此類推),必須等於當前時間的「分」除以 10 之後的餘數。例如:若文件關閉的時間是在星期日 (數值=1) 的 xx 點 x1 分,(其中 x 是任意數),檔案就會被加密。
圖 6:某個 qkG 變種判斷是否要將檔案加密的程式碼。
我們查了一下該病毒的比特幣位址之後發現,該位址目前還沒有任何交易:
圖 7:qkG 的比特幣位址截至 2017 年 11 月 17 日為止的交易記錄。
防範之道
儘管 qkG 目前並未造成太大影響,但其使用惡意巨集的技巧卻值得注意。而且,就像其他勒索病毒家族一樣,我們預料這項技巧將不斷改進、擴大並且應用至其他網路攻擊。
停用巨集可大幅降低巨集惡意程式 (例如 qKG) 的風險。此外,使用者應養成良好的網路安全習慣,謹守勒索病毒最佳防範原則:隨時保持系統與應用程式更新、定期備份資料,針對一些駭客可能利用的系統工具和功能加以管制。更重要的是,要隨時保持網路資安意識。以巨集為基礎的惡意程式,通常會搭配檔案/文件以及社交工程誘餌。畢竟,資安技術再怎麼強,人還是最重要的因素。
趨勢科技解決方案
趨勢科技 XGen安全防護能提供跨世代融合的威脅防禦技巧,完整防範各式各樣的威脅,保護資料中心、雲端環境、網路以及端點。它藉由高準度的機器學習來保護閘道與端點資料和應用程式,保護實體、虛擬及雲端工作附載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業量身訂做的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或將資料加密。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
入侵指標:
RANSOM_CRYPTOQKG.A 各樣本的雜湊碼 (SHA-256):
- 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571
- 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e
- doc
原文出處:qkG Filecoder: Self-Replicating, Document-Encrypting Ransomware 作者:Jaromir Horejsi (威脅研究員)
PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。