Primeiro Ransomware com capacidade de autorreplicação

Sharing is caring ... Help us!

Um novo Ransomware foi descoberto com novos recursos que implementaram em macros VBA chamadas “qkG Filecoder” que estão inteiramente relacionadas aos documentos Word.

qkG Filecoder é o primeiro Ransomware que é capaz de se auto replicar com recursos de um arquivo para outro e, ao contrário de outras famílias de ransomware, usa código de macro mal-intencionado para baixar o ransomware.

O código de macro malicioso é uma das técnicas que é usada por uma variante .lukitus do Ransomware Locky que é capaz de fechar automaticamente o VBA Script.

qkG é capaz de criptografar o conteúdo do documento, mas não irá danificar a estrutura do arquivo, e também não alterará o nome do arquivo.

Isso afeta apenas um ActiveDocument, o que significa que apenas criptografará os documentos abertos e nenhuma nota de resgate será adicionada ao sistema.

Uma vez que as Vítimas habilitam as macros, o modelo normal.dot será modificado e infectado com macros mal-intencionadas. Sempre que as vítimas abrirem a palavra, o padrão malicioso normal.dot do template, ele será carregado e executado na memória.

qKG não executará nenhuma tarefa no momento que o usuário abrir o documento não infectado. Depois ele irá criptografar o conteúdo do arquivo uma vez que um usuário tente fechar o documento aberto em particular.

Na próxima etapa, ele exibirá a mensagem com um endereço de e-mail e Bitcoin, juntamente com o conteúdo criptografado.

qkG Filecoder

qkG Filecoder usa a macro de inicialização automática Document_Open () para repetir o processo de criptografia na máquina limpa.

De acordo com a Trend Micro , suponha que criamos um documento contendo o texto “1234567890”. Depois de fechar o documento em uma máquina infectada, os caracteres estranhos recebem XOR com um caractere correspondente na senha codificada: ” Eu sou QkG @ PTM17! por TNA @ MHT-TT2 “, enquanto cada caractere par permanece intacto. O documento criptografado resultante contendo o texto “1234567890” está na imagem acima.

“Uma das amostras testadas contém uma rotina de descriptografia. Não é usada no corpo do malware e, portanto, não funciona. Este malware também pode ser interpretado como malware ainda em desenvolvimento “

Além disso, os pesquisadores encontraram um endereço bitcoin que é usado junto com esta variante. Mas parece que nenhuma transação foi realizada.

Embora não seja particularmente penetrante em termos de impacto, o uso exclusivo de macros mal-intencionadas do qkG ainda é notável. E, como outras famílias de ransomware, esperamos que esta técnica seja reanalisada, ampliada e reutilizada para outros ataques cibernéticos.

O que fazer para me protreger?

Desativar macros reduz significativamente o risco de malware baseado em macro, como qkG.

Para aprender mais sobre ransomware, você pode acessar o site: https://www.cloudwards.net/ransomware-protection/