qkG Ransomware

CH azonosító

CH-14303

Angol cím

qkG Ransomware

Felfedezés dátuma

2017.11.21.

Súlyosság

Alacsony

Érintett rendszerek

Microsoft

Érintett verziók

Microsoft Windows

Összefoglaló

A “qkG” ransomware a Microsoft Office Word rosszindulatú makró kóddal történő megfertőzésére alkalmas fájltitkosító zsarolóprogram.

Leírás

A “qkG” működését tekintve hasonló a Locky ransomware .lukitus variánsához. Amennyiben az áldozatnál engedélyezve van a makró futtattás, a normál.dot sablont megfertőzi és új lap nyitásakor futtatásra kerül a rendszeren.

Verziótól függően a következő változtatásokat kényszeríti ki a Word beállításaiban:

  • nem kér engedélyt makró futtatáshoz;
  • deaktiválja a védett nézetet;
  • feloldja a netes Excel fájlok makróinak blokkolását;
  • a biztonsági szintet alacsonyra állítja. 

Az előbbi módosítások végrehajtása után a qkG a sablonhoz hozzáteszi a Document_Close () autostart makrót és lemásolja magát.

A továbbiakban, amikor egy felhasználó megnyit egy nem fertőzött dokumentumot, először nem történik semmi, azonban a bezárásakor a qkG titkosítja a fájl tartalmát. Ezen kívül egy üzenet jelenik meg e-mail és Bitcoin-címmel együtt a titkosított tartalom mellett. A qkG filecoder a Document_Open () autostart makrót is hozzáadja a titkosított dokumentumhoz és tovább másolja magát. Ez azt jelenti, hogy ha ez a dokumentum egy tiszta gépen nyílik meg, akkor a fertőzés láncolata megismétlődik.

Megoldás

A makrók tiltása, továbbá javasolt rendszeres adatmentéseket végezni.
A fertőzés detektálására az alábbi indikátorok használhatóak: (sha-256)
  • 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571
  • 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e
  • e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66

Hivatkozások

Egyéb referencia: blog.trendmicro.com
Egyéb referencia: www.ibtimes.co.uk
Egyéb referencia: www.scmagazine.com