qkG Ransomware: Ο ερευνητής Jaromir Horejsi εντόπισε ένα Ransomware με όνομα qkG το ποιο στοχεύει έγγραφα του Office.Το qKG είναι ένα Ransomware το οποίο λειτουργεί λίγο διαφορετικά από τα υπόλοιπα. Τα βήματα του είναι τα εξής:
Step 1: Ο χρήστης κατεβάζει και ανοίγει το μολυσμένο αρχείο Word.
Step 2: O χρήστης κάνοντας click πάνω στην επιλογή επεξεργασίας του εγγράφου ενεργοποιεί έναν VBA code που βρίσκεται στο αρχείο.
Step 3: Ο κώδικας του qKG ξεκινάει να τρέχει όμως δεν κάνει κάτι συγκεκριμένο. Ουσιαστικά, χρησιμοποιεί την onClose λειτουργία και περιμένει να κλείσει ο χρήστης το έγγραφο για να εκτελέσει το μολυσμένο κομμάτι του κώδικα χρησιμοποιώντας macro sciprts.
Step 4: Αφού κλείσει το αρχείο ο μολυσμένος κώδικας κάνει τα εξής:
- Μειώνει τις ρυθμίσεις ασφαλείας του Office έτσι ώστε να μπορούν οι μακροεντολές να εκτελούνται αυτόματα.
- Προσθέτει το κακόβουλο λογισμικό στο αρχείο normal.dot (Βασικό template για όλα τα Word αρχεία).
- Εισάγει μια κρυπτογράφηση XOR στο έγγραφο.
- Προσθέτει μια σημείωση στο κάτω μέρος του εγγράφου. Δεν αλλάζει το όνομα η την επέκταση του.
Από όλα αυτά τα βήματα αυτό που το κάνει πιο ξεχωριστό και επικίνδυνο είναι το τέταρτο και συγκεκριμένα η παραμετροποίηση του εγγράφου normal.dot. Αυτό έχει ως συνέπεια κάθε φορά που κλείνει και ανοίγει το Word ο χρήστης να φορτώνει το βασικό template normal.dot με αποτέλεσμα ο μολυσμένος κώδικας να ξανατρέχει και το ransomware να κάνει όλη την διαδικασία από την αρχή χωρίς κανένα πρόβλημα.
Ο Horejsi βρήκε αρκετές παραλλαγές του qkG Ransomware ανεβασμένες στο VirusTotal με κάποιες βασικές λειτουργίες του να λείπουν, κάτι το οποίο τον κάνει να πιστεύει ότι ακόμα είναι σε developing mode και δεν έχει κυκλοφορήσει στο διαδίκτυο για να μολύνει χρήστες. Ωστόσο επειδή η κατασκευή (βασίζεται εξ ολοκλήρου σε macro scripting) και η τεχνική του είναι ιδιαίτερες πιστεύει ότι δεν θα αργήσει να βγει σε τελική μορφή και να αρχίσει να εξαπλώνεται.
