Um novo Ransomware foi descoberto com novos recursos que implementaram em macros VBA chamadas “qkG Filecoder” que estão inteiramente relacionadas aos documentos Word.

qkG Filecoder é o primeiro Ransomware que é capaz de se auto replicar com recursos de um arquivo para outro e, ao contrário de outras famílias de ransomware, usa código de macro mal-intencionado para baixar o ransomware.

O código de macro malicioso é uma das técnicas que é usada por uma variante .lukitus do Ransomware Locky que é capaz de fechar automaticamente o VBA Script.

qkG é capaz de criptografar o conteúdo do documento, mas não irá danificar a estrutura do arquivo, e também não alterará o nome do arquivo.

Isso afeta apenas um ActiveDocument, o que significa que apenas criptografará os documentos abertos e nenhuma nota de resgate será adicionada ao sistema.

Uma vez que as Vítimas habilitam as macros, o modelo normal.dot será modificado e infectado com macros mal-intencionadas. Sempre que as vítimas abrirem a palavra, o padrão malicioso normal.dot do template, ele será carregado e executado na memória.

qKG não executará nenhuma tarefa no momento que o usuário abrir o documento não infectado. Depois ele irá criptografar o conteúdo do arquivo uma vez que um usuário tente fechar o documento aberto em particular.

Na próxima etapa, ele exibirá a mensagem com um endereço de e-mail e Bitcoin, juntamente com o conteúdo criptografado.

qkG Filecoder

qkG Filecoder usa a macro de inicialização automática Document_Open () para repetir o processo de criptografia na máquina limpa.

qkG Filecoder

De acordo com a Trend Micro , suponha que criamos um documento contendo o texto “1234567890”. Depois de fechar o documento em uma máquina infectada, os caracteres estranhos recebem XOR com um caractere correspondente na senha codificada: ” Eu sou QkG @ PTM17! por TNA @ MHT-TT2 “, enquanto cada caractere par permanece intacto. O documento criptografado resultante contendo o texto “1234567890” está na imagem acima.

“Uma das amostras testadas contém uma rotina de descriptografia. Não é usada no corpo do malware e, portanto, não funciona. Este malware também pode ser interpretado como malware ainda em desenvolvimento “

qkG Filecoder

Além disso, os pesquisadores encontraram um endereço bitcoin que é usado junto com esta variante. Mas parece que nenhuma transação foi realizada.

Embora não seja particularmente penetrante em termos de impacto, o uso exclusivo de macros mal-intencionadas do qkG ainda é notável. E, como outras famílias de ransomware, esperamos que esta técnica seja reanalisada, ampliada e reutilizada para outros ataques cibernéticos.

O que fazer para me protreger?

Desativar macros reduz significativamente o risco de malware baseado em macro, como qkG.