Összefoglaló
A “qkG” ransomware a Microsoft Office Word rosszindulatú makró kóddal történő megfertőzésére alkalmas fájltitkosító zsarolóprogram.
Leírás
A “qkG” működését tekintve hasonló a Locky ransomware .lukitus variánsához. Amennyiben az áldozatnál engedélyezve van a makró futtattás, a normál.dot sablont megfertőzi és új lap nyitásakor futtatásra kerül a rendszeren.
Verziótól függően a következő változtatásokat kényszeríti ki a Word beállításaiban:
- nem kér engedélyt makró futtatáshoz;
- deaktiválja a védett nézetet;
- feloldja a netes Excel fájlok makróinak blokkolását;
- a biztonsági szintet alacsonyra állítja.
Az előbbi módosítások végrehajtása után a qkG a sablonhoz hozzáteszi a Document_Close () autostart makrót és lemásolja magát.
A továbbiakban, amikor egy felhasználó megnyit egy nem fertőzött dokumentumot, először nem történik semmi, azonban a bezárásakor a qkG titkosítja a fájl tartalmát. Ezen kívül egy üzenet jelenik meg e-mail és Bitcoin-címmel együtt a titkosított tartalom mellett. A qkG filecoder a Document_Open () autostart makrót is hozzáadja a titkosított dokumentumhoz és tovább másolja magát. Ez azt jelenti, hogy ha ez a dokumentum egy tiszta gépen nyílik meg, akkor a fertőzés láncolata megismétlődik.
Megoldás
- 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571
- 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e
- e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66
Támadás típusa
RansomwareHatás
Loss of availability (Elérhetőség elvesztése)Szükséges hozzáférés
Local/Shell (Helyi/shell)Hivatkozások
Egyéb referencia: blog.trendmicro.com
Egyéb referencia: www.ibtimes.co.uk
Egyéb referencia: www.scmagazine.com
