qkG Ransomware: Ransomware với khả năng tự sao chép và nhắm mục tiêu các tài liệu Office.
qkG Ransomware: Ransomware với khả năng tự sao chép và nhắm mục tiêu các tài liệu Office.
7 Năm trước 1254

Vào đầu tháng 11/2017, Các nhà nghiên cứu bảo mật đã
phát hiện ra một loại ransomware mới có tên là qkG với khả năng tự sao chép và
nhắm mục tiêu các tài liệu Office để mã hoá và lây nhiễm vào mẫu tài liệu mặc
định của Word để truyền sang các tài liệu Word mới được mở qua cùng một bộ
Office trên cùng một máy tính. 

Cơ chế làm việc
của qkG ransomware như  sau:

1. Người dùng tải và mở tài
liệu Word bị nhiễm.

2. Người dùng nhấp vào nút
"Enable Editing" cho phép thực hiện các tập lệnh macro, trong trường
hợp này là mã VBA được đính kèm với tài liệu. Khác với các loại ransomware khác
chỉ sử dụng các macro để tải về và chạy tệp nhị phân chính của chúng thì qkG
hoàn toàn nằm trong macro scrip.

3. Khi mã qkG chạy, nhưng
không có gì xảy ra là do qkG sử dụng chức năng onClose để thực hiện phần mã độc
hại của mã macro. qkG vẫn thực thi khi 
khi người dùng đóng tệp Word. (chức năng onClose trước đây đã được Locky
ransomware sử dụng  bên trong các tập
lệnh macro của Word để tải về và thực thi)

4. Sau khi người dùng đóng
tệp Word, mã độc hại thực hiện như sau:

-  Vô hiệu hóa một số cài đặt bảo mật Office,
các macro được thực hiện tự động và chế độ xem được bảo vệ sẽ không hoạt động.

- Nối mã độc hại qkG
ransomware vào normal.dot (là mẫu tiêu chuẩn cho tất cả các tài liệu Word)

- Xóa các nội dung của tài
liệu hiện tại bằng một mật mã XOR đơn giản.

- Thông báo nộp một khoản
tiền chuộc vào cuối tài liệu, qkG có khả năng mã hóa các nội dung tài
liệu,  không thay đổi tên tài liệu hoặc
phần mở rộng tập tin và không làm hỏng cấu trúc tập tin.

 

                                        (Thông báo về tiền chuộc giống
như trong hình)

 Kỹ thuật tấn
công:

Thông thường Microsoft đã vô hiệu các macro bên ngoài
(hoặc không đáng tin cậy) theo mặc định và để hạn chế truy cập chương trình mặc
định cho chương trình Office VBA, nó cũng cung cấp cho người dùng tự kích hoạt
chế độ "Trust access to VBA project object model" theo yêu cầu. Khi
chọn chức năng này, MS Office tin cậy tất cả các macro và tự động chạy bất kỳ
mã nào mà không cần cảnh báo bảo mật hoặc yêu cầu sự cho phép của người dùng.
Việc cài đặt này có thể được kích hoạt hoặc vô hiệu hoá rất đơn giản bằng cách
chỉnh sửa khóa trong Windows Registry cho phép chạy các macro được viết mà
không cần có sự đồng ý và kiến ​​thức của người dùng. Như vậy, một tập tin MS
Word nhiễm qkG độc hại đầu tiên chỉnh sửa registry của Windows và sau đó tiêm
cùng một tệp tin macro (VBA code) vào mọi tập tin.doc khác mà nạn nhân tạo mới,
chỉnh sửa hoặc chỉ mở trên hệ thống. Mặc dù kỹ thuật này không bị khai thác
trong tự nhiên nhưng nó có thể bị khai thác để lây lan malware độc ​​hại tự sao
chép và rất khó để đối phó và chấm dứt.

 

Phương pháp lây
nhiễm:

qkG
ransomware sửa đổi file normal.dot mặc nhiên của Word và gắn thêm một bản sao
của chính nó với normal.dot, khi nào người dùng mở Word một lần nữa, mẫu sửa
đổi normal.dotc với mã độc hại được tải và thực thi. Nếu người dùng chia sẻ một
trong những tài liệu này với người dùng khác, nếu họ cho phép macro, họ cũng sẽ
lây nhiễm sang file Word của họ.

Hiện tại qkG ransomware  đang có 03 phiên bản khác nhau: Mẫu file MS
Word bị lây nhiễm “Tuyên bố chung Việt Nam - Hoa Kỳ.doc”

1. 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b572.

Phiên bản phát hành đầu tiên
nhưng không có ví BTC trả tiền chuộc

2. 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e

Phiên bản này bổ sung thủ tục
giải mã nhưng lại không được kích hoạt trong mã, nếu lây nhiễm mã độc này,
ransomware không thể giải mã các file bị nhiễm

3. e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66

Phiên bản này chỉ mã hóa các
tập tin vào một thời điểm nhất định.

    Dựa trên bằng chứng tìm thấy các mẫu qkG chứa từ tiếng
Việt và các mẫu qkG đã được tải lên VirusTotal bởi người dùng có địa chỉ IP tại
Việt Nam. Điều này khẳng định tác giả phần mềm độc hại qkG trú tại Việt Nam.
Mặc dù qkQ chưa được nhìn thấy trong các trường hợp nhiễm độc trực tiếp  và ransomware được tạo ra như là một dự án thực
nghiệm hoặc một bằng chứng về khái niệm (PoC) chứ không phải là một phần mềm
độc hại được sử dụng trong tự nhiên, tuy nhiên việc sử dụng các macro độc hại
của qkG vẫn còn đáng chú ý và theo dõi vì các kỹ thuật này rất dễ dàng được
phát triển, mở rộng và sửa chữa phù hợp cho các cuộc tấn công mạng khác. 

Phương pháp
phòng ngừa:

Hãy luôn luôn tự bảo vệ mình khỏi phần mềm độc hại như
trên bằng cách không mở tài liệu đáng nghi ngờ nào được gửi qua email không
được xác định cũng như không  bao giờ
nhấp chuột vào các liên kết bên trong các tài liệu đó trừ khi xác minh đúng
nguồn.