ค้นพบแรนซั่มแวร์พันธุ์ใหม่ “qkG” เน้นเข้ารหัสไฟล์เอกสารเวิร์ดเป็นหลัก

นักวิจัยด้านความปลอดภัยจาก Trend Micro ค้นพบแรนซั่มแวร์สายพันธุ์ใหม่ชื่อ qkG ที่พุ่งเป้าเข้ารหัสไฟล์เอกสาร Office เป็นหลัก โดยติดเชื้อฝังตัวเองบนไฟล์แม่แบบเอกสารดีฟอลต์ของ Word เพื่อแพร่เชื้อตัวเองไปยังเอกสารเวิร์ดอื่นๆ ที่ถูกเปิดขึ้นบนชุดโปรแกรมออฟฟิศเดียวกัน บนเครื่องเดียวกัน


แต่ยังดีที่แรนซั่มแวร์ที่พบดังกล่าวยังอยู่ในช่วงการพัฒนา และยังไม่พบการแพร่เชื้อหรือโจมตีบนโลกภายนอกจริงแต่อย่างใด แต่ถือเป็นแรนซั่มแวร์ที่มีพฤติกรรมแปลกกว่าปกติ ที่แฝงบนไฟล์เวิร์ดแล้วรอการคลิกปุ่ม “Enable Editing” เพื่อรันสคริปต์มาโครที่เป็นไฟล์ของแรนซั่มแวร์ทั้งดุ้น ขณะที่แรนซั่มแวร์อื่นทั่วไปจะใช้มาโครเป็นแค่ทางผ่านในการรันโค้ดของไวรัสที่เก็บอยู่ที่อื่นอีกทอดหนึ่ง

คาดว่าผู้พัฒนา qkG จะได้แรงบันดาลใจจาก Locky ที่ระบาดเมื่อช่วงฤดูร้อนที่ผ่านมา โดยใช้ฟังก์ชั่น onClose ภายในสคริปต์มาโครของเอกสารเวิร์ดเพื่อดาวร์โหลดและรันตัวแรนซั่มแวร์ ซึ่งครั้งนี้ได้เอามาปรับเสริมติดอาวุธเพิ่มด้วยการแก้ไขไฟล์เท็มเพลต normal.dot เพื่อคัดลอกโค้ดตัวเองลงไป เพื่อให้สามารถเข้ารหัสไฟล์เวิร์ดใหม่ๆ ที่ถูกเปิดขึ้นมาหลังจากนั้นทุกไฟล์

ทั้งนี้ Trend Micro พบโค้ดแรนซั่มแวร์ดังกล่าวในแบบหลากหลายเวอร์ชั่นที่ถูกอัพโหลดขึ้นไปบน VirusTotal ที่สันนิษฐานได้ว่า มัลแวร์ร้ายตัวนี้ยังอยู่ในขั้นตอนของการพัฒนา โดยเฉพาะการที่ไม่เห็นการระบุที่อยู่บิทคอยน์สำหรับให้เหยื่อโอนค่าไถ่

ที่มา : https://www.bleepingcomputer.com/news/security/qkg-ransomware-encrypts-only-word-documents-hides-and-spreads-via-macros