可自我繁殖的文件加密勒索病毒

最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本，純粹以 VBA 巨集所撰寫，這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式，會感染 Microsoft Word 的 Normal 範本 (normal.dot)，也就是所有新增空白 Word 文件所使用的範本。

從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC)，而非在外活躍的惡意程式。但儘管如此，qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出，其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如，當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時，它還沒有比特幣（Bitcoin）位址。但短短兩天之後就有了，而且還增加了一個會在特定日期和時間加密文件的行為。隔天，我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。

值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒

qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒，而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外，它也是少數使用巨集來撰寫惡意程式碼的病毒之一，其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。

qkG 採用巨集撰寫惡意程式碼的作法，類似  .lukitus 勒索病毒 (Locky 勒索病毒變種之一)，後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過，qkG 只會將文件加密，但 .lukitus  的巨集卻會下載並協助執行勒索病毒，被下載的勒索病毒才會將感染系統上的目標檔案加密。

其他 qkG 值得注意的行為還有會將文件內容加密，但檔案結構及檔案名稱卻維持不變。此外，也不會在系統上產生勒索訊息檔案，因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument)，換句話說，只有已開啟的文件才會被加密。

圖 1：qkG 內容中的字串顯示其名稱和作者。 繼續閱讀