qkG Ransomware: Ransomware với khả năng tự sao chép và nhắm mục tiêu các tài liệu Office.


Vào đầu tháng 11/2017, Các nhà nghiên cứu bảo mật đã phát hiện ra một loại ransomware mới có tên là qkG với khả năng tự sao chép và nhắm mục tiêu các tài liệu Office để mã hoá và lây nhiễm vào mẫu tài liệu mặc định của Word để truyền sang các tài liệu Word mới được mở qua cùng một bộ Office trên cùng một máy tính. 

Cơ chế làm việc của qkG ransomware như  sau:

1. Người dùng tải và mở tài liệu Word bị nhiễm.

2. Người dùng nhấp vào nút "Enable Editing" cho phép thực hiện các tập lệnh macro, trong trường hợp này là mã VBA được đính kèm với tài liệu. Khác với các loại ransomware khác chỉ sử dụng các macro để tải về và chạy tệp nhị phân chính của chúng thì qkG hoàn toàn nằm trong macro scrip.

3. Khi mã qkG chạy, nhưng không có gì xảy ra là do qkG sử dụng chức năng onClose để thực hiện phần mã độc hại của mã macro. qkG vẫn thực thi khi  khi người dùng đóng tệp Word. (chức năng onClose trước đây đã được Locky ransomware sử dụng  bên trong các tập lệnh macro của Word để tải về và thực thi)

4. Sau khi người dùng đóng tệp Word, mã độc hại thực hiện như sau:

-  Vô hiệu hóa một số cài đặt bảo mật Office, các macro được thực hiện tự động và chế độ xem được bảo vệ sẽ không hoạt động.

- Nối mã độc hại qkG ransomware vào normal.dot (là mẫu tiêu chuẩn cho tất cả các tài liệu Word)

- Xóa các nội dung của tài liệu hiện tại bằng một mật mã XOR đơn giản.

- Thông báo nộp một khoản tiền chuộc vào cuối tài liệu, qkG có khả năng mã hóa các nội dung tài liệu,  không thay đổi tên tài liệu hoặc phần mở rộng tập tin và không làm hỏng cấu trúc tập tin.

 

                                        (Thông báo về tiền chuộc giống như trong hình)

 

Kỹ thuật tấn công:

Thông thường Microsoft đã vô hiệu các macro bên ngoài (hoặc không đáng tin cậy) theo mặc định và để hạn chế truy cập chương trình mặc định cho chương trình Office VBA, nó cũng cung cấp cho người dùng tự kích hoạt chế độ "Trust access to VBA project object model" theo yêu cầu. Khi chọn chức năng này, MS Office tin cậy tất cả các macro và tự động chạy bất kỳ mã nào mà không cần cảnh báo bảo mật hoặc yêu cầu sự cho phép của người dùng. Việc cài đặt này có thể được kích hoạt hoặc vô hiệu hoá rất đơn giản bằng cách chỉnh sửa khóa trong Windows Registry cho phép chạy các macro được viết mà không cần có sự đồng ý và kiến ​​thức của người dùng. Như vậy, một tập tin MS Word nhiễm qkG độc hại đầu tiên chỉnh sửa registry của Windows và sau đó tiêm cùng một tệp tin macro (VBA code) vào mọi tập tin.doc khác mà nạn nhân tạo mới, chỉnh sửa hoặc chỉ mở trên hệ thống. Mặc dù kỹ thuật này không bị khai thác trong tự nhiên nhưng nó có thể bị khai thác để lây lan malware độc ​​hại tự sao chép và rất khó để đối phó và chấm dứt.

 

Phương pháp lây nhiễm:

qkG ransomware sửa đổi file normal.dot mặc nhiên của Word và gắn thêm một bản sao của chính nó với normal.dot, khi nào người dùng mở Word một lần nữa, mẫu sửa đổi normal.dotc với mã độc hại được tải và thực thi. Nếu người dùng chia sẻ một trong những tài liệu này với người dùng khác, nếu họ cho phép macro, họ cũng sẽ lây nhiễm sang file Word của họ.

Hiện tại qkG ransomware  đang có 03 phiên bản khác nhau: Mẫu file MS Word bị lây nhiễm “Tuyên bố chung Việt Nam - Hoa Kỳ.doc”

1. 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b572.

Phiên bản phát hành đầu tiên nhưng không có ví BTC trả tiền chuộc

2. 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e

Phiên bản này bổ sung thủ tục giải mã nhưng lại không được kích hoạt trong mã, nếu lây nhiễm mã độc này, ransomware không thể giải mã các file bị nhiễm

3. e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66

Phiên bản này chỉ mã hóa các tập tin vào một thời điểm nhất định.

    Dựa trên bằng chứng tìm thấy các mẫu qkG chứa từ tiếng Việt và các mẫu qkG đã được tải lên VirusTotal bởi người dùng có địa chỉ IP tại Việt Nam. Điều này khẳng định tác giả phần mềm độc hại qkG trú tại Việt Nam. Mặc dù qkQ chưa được nhìn thấy trong các trường hợp nhiễm độc trực tiếp  và ransomware được tạo ra như là một dự án thực nghiệm hoặc một bằng chứng về khái niệm (PoC) chứ không phải là một phần mềm độc hại được sử dụng trong tự nhiên, tuy nhiên việc sử dụng các macro độc hại của qkG vẫn còn đáng chú ý và theo dõi vì các kỹ thuật này rất dễ dàng được phát triển, mở rộng và sửa chữa phù hợp cho các cuộc tấn công mạng khác. 

Phương pháp phòng ngừa:

Hãy luôn luôn tự bảo vệ mình khỏi phần mềm độc hại như trên bằng cách không mở tài liệu đáng nghi ngờ nào được gửi qua email không được xác định cũng như không  bao giờ nhấp chuột vào các liên kết bên trong các tài liệu đó trừ khi xác minh đúng nguồn.




Xem thêm: qkG Ransomware: Ransomware với khả năng tự sao chép và nhắm mục tiêu các tài liệu Office.

Thông tin liên hệ:

Công ty TNHH Tin Học Đô Nguyên


Chưa cập nhật địa chỉ...



Website: http://emsisoft.vn

Nhận xét

Đăng nhận xét

Bài đăng phổ biến từ blog này

Tạo website bán cafe - cà phê - coffee

Hình ảnh
Công ty Cổ Phần Cung Cấp  chuyên cung cấp các loại website nhanh, giá cực rẻ và tối ưu chất lượng cho doanh nghiệp, phục vụ cho mọi nhu cầu kinh doanh.  Tạo website bán cà phê, coffee, bán cà phê đóng gói, cà phê bột...       Tạo website cực nhanh và tiếp cận 10.000 khách hàng tiềm năng mỗi tháng chỉ với 960.000đ!  ---------------- ✅ Tạo trực tuyến và nhanh chóng  ✅ Không tốn phí thiết kế  ✅ Không tốn phí tên miền, được miễn phí tên miền dạng .cungcap.net, ngoài ra có thể sử dụng tên miền theo ...
Đọc thêm

Trà Oolong bao nhôm gói 250gr

Thành phấn: Đọt trà xanh Oolong Tứ Quý 100%. ( trà nguyên liệu sạch ) Giống : Trà Oolong của đài loan. Trồng & và chế biến: Bảo Lộc – Lâm Đồng – Việt Nam Công nghệ chế biến: Máy móc hiện đại của Đài Loan. Ngọai hình: Chế biến theo công nghệ hiện đại của đài loan 100% nên viên trà tròn – xanh đen. Màu: Màu vàng nhạt. Vị: Có hậu ngọt của trà là trà xanh, không có vị chát. Hương: Hương thơm từ trong trà xanh tỏa tự nhiên,. Bao bì & in ấn: Bao bì nhôm PP 4 màu, in chữ màu đen, cá...
Đọc thêm