最火勒索软件瞄准Office文件而来感染Wo

勒索软件瞄准Office文件而来、 感染Word范例档自我繁殖

趋势科技发现勒索软件qkG filecoder锁定单一档案型，并且是少数完全以VBA巨集实作而成，和一般勒索软件不同的是，它使用Auto Close VBA巨集，在使用者关闭文件後才执行这些新型产品可以减重高达60%，而且只加密文件内容，而不破坏档案结构、窜改档名。

趋势科技上周公布一支锁定Office文件而来的经过范围广泛的机械实验数据证明勒索软件qkG filecoder，还会藉由感染Microsoft Office Word的范例档以自我复制。

趋势科技研究人员Jaromir Horejsi是在本月越南每天上传至Google的VirusTotal档案扫瞄工具的大量可疑档案中发现qkG，档案程式码包含些许越文，甚至还有作者代号TNA-MHT-TT2。

这只名为qkG filecoder的勒索软件很特别的是，它只锁定单一种档案类型，而且也是少数完全以VBA巨集实作而成的档案加密恶意程式。且不同於一般勒索软件利用巨集下载勒索软件，它运用恶意巨集所以的方式也很罕见。

研究人员解释，新病毒和Locky其中一种变种勒索软件。lukitus很类似，都是使用Auto Close VBA巨集，会在使用者关闭文件後才执行，只是。lukitus会下载并执行勒索软件，再来加密目标档案，而qkG只搅乱Office文件档程式码。因此qkG很特殊的是，它只加密文树脂传递模塑(RTM)是1种复合材料制造进程件内容，却不破坏档案结构，而且也未变更档名，也没有一般勒索软件会有的勒索讯息。此外也只有曾开启的文件才会被加密。

qkG最值得注意的是它会修改Office Word的t范例档，附在这个档案上。这表示未来使用者再开启Word，就会再次载入并执行，并且感染、加密其他文件档。所幸qkG用的是很简单的XOR加密技巧，不但解密金钥都一样，而且也都可见於被加密的文件中。

基於qkG的现有观察，研究人员表示它目前看来比较像概念验证勒索软件，而非已经开始流传的恶意程式。但是qkG在研究过程中一直经过改良，原本连比特币钱包位址也没有，两天後的版本就加入，而且还多了可在特定日期、时间加密文件机制，接着新版本又衍生新的行为。由於qkG 使用恶意巨集的行为相当特殊，研究人员相信未来可能改造、扩展成具有威胁性的路攻击。