可自我繁殖的文件加密勒索病毒
最近趨勢科技發現了幾個相當有趣的檔案加密勒索病毒 Ransomware (勒索軟體/綁架病毒)樣本,純粹以 VBA 巨集所撰寫,這就是「qkG」病毒 (趨勢科技命名為 RANSOM_CRYPTOQKG.A)。這是一個典型的巨集惡意程式,會感染 Microsoft Word 的 Normal 範本 (normal.dot),也就是所有新增空白 Word 文件所使用的範本。
從進一步的分析可看出 qkG 比較像是個實驗性計畫或概念驗證 (PoC),而非在外活躍的惡意程式。但儘管如此,qkG 仍是個相當危險的威脅。因為從 qkG 的樣本可看出,其作者或其他駭客可能對其行為和技巧做進一步的調校改進。例如,當我們在 11 月 12 日首次於 VirusTotal 看到它的樣本時,它還沒有比特幣(Bitcoin)位址。但短短兩天之後就有了,而且還增加了一個會在特定日期和時間加密文件的行為。隔天,我們又看到一個行為不同的 qkG 樣本 (不會加密某些檔名格式的文件)。
值得注意的行為: 少數使用巨集來撰寫惡意程式碼的病毒
qkG 檔案加密病毒特別之處在於它是第一個一次加密一個檔案 (以及一種檔案) 的勒索病毒,而且是純粹採用 Visual Basic for Applications (VBA) 巨集撰寫的檔案加密惡意程式之一。除此之外,它也是少數使用巨集來撰寫惡意程式碼的病毒之一,其他絕大多數惡意程式家族都是將巨集用來下載勒索病毒。
qkG 採用巨集撰寫惡意程式碼的作法,類似 .lukitus 勒索病毒 (Locky 勒索病毒變種之一),後者運用的是 VBA 的 Auto Close 巨集。兩者都是在使用者關閉檔案時會執行惡意巨集。不過,qkG 只會將文件加密,但 .lukitus 的巨集卻會下載並協助執行勒索病毒,被下載的勒索病毒才會將感染系統上的目標檔案加密。
其他 qkG 值得注意的行為還有會將文件內容加密,但檔案結構及檔案名稱卻維持不變。此外,也不會在系統上產生勒索訊息檔案,因為訊息已經插在文件內容前面。而且它只會加密「使用中」的文件 (ActiveDocument),換句話說,只有已開啟的文件才會被加密。
圖 1:qkG 內容中的字串顯示其名稱和作者。 繼續閱讀