QkG Ransomware
(шифровальщик-вымогатель, макро-вымогатель, макро-шифровальщик)
Этот крипто-вымогатель шифрует данные пользователей с помощью XOR, а затем требует выкуп в # BTC, чтобы вернуть файлы. Оригинальные названия: QkG, QkG@17! и QkG@PTM17! (так указано в записке). На файле написано: qkG. Разработчик: TNA-MHT-TT2 или TNA@MHT-TT2
Три скриншота с разными названиями
© Генеалогия: QkG. Начало.
К зашифрованным файлам никакое расширение не добавляется. Названия файлов не меняются.
Активность этого крипто-вымогателя пришлась на вторую половину ноября 2017 г. Ориентирован на англоязычных и вьетнамских пользователей, что не мешает распространять его по всему миру.
Отдельной записки нет. Записка с требованием выкупа добавляется к содержимому документа.
Записка о выкупе, которая отображается после шифрования документа
Содержание записки о выкупе:
I'm QkG@PTM17! by TNA@MHT-TT2
Send $300 to BTC Address: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
Contact Email: ***
7800320014003400580036001700380068003000
Перевод записки на русский язык:
Я есть QkG@PTM17! by TNA@MHT-TT2
Отправь $300 на BTC-адрес: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
Контактный Email: ***
7800320014003400580036001700380068003000
Технические детали
Исследователи из TrendMicro считают, что QkG — это экспериментальный проект или пруф-концепт (Proof-of-Concept, PoC), а не распространяемое вредоносное ПО. Это, однако, не делает QkG менее опасной угрозой. Поведение и методы QkG могут быть доработаны самим разработчиком или другими разработчики вредоносов. У раннего образца, отправленного на анализ в VirusTotal 12 ноября не было биткоин-адреса. Он появился только два дня спустя, а на следующий день был исследован другой образец QkG с другим поведением, при котором не шифровались документы с определённым форматом имени файла. Это говорит о том, что доработка QkG продолжается.
Может начать распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, эксплойтов, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.
!!! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1.
Подробности шифрования
Вредонос QkG заражает стандартный шаблон Microsoft Word, т.е. файл normal.dot. Если жертва разрешает макросы в документе, то именно к шаблону прикрепляется вредоносный макрос.
Вредонос QkG полностью содержится в макросе. Потом он загружается и выполняется, когда пользователь закрывает вновь созданный или открытый документ Word.
При первом закрытии файла с макросами, в шаблоне normal.dot изменяются несколько параметров безопасности Office, чтобы далее макросы уже выполнялись автоматически, а защищенный просмотр документов отключается.
Вредоносный макрос, добавленный в шаблон normal.dot
Вредонос QkG скремблирует документ, производя шифрование содержимого документа с помощью XOR, но структура файла не повреждается и имя файла не изменяется. В папки пользователя не добавляется отдельная обычная записка о выкупе, т.к. вымогательский текст добавляется к содержимому документа. Это влияет на активные документы, поэтому только открытые документы будут зашифрованы.
Содержимое вредоносного документа, предварительно очищенного антивирусом
Как только пользователь закроет свой документ, то содержимое файла MS Office зашифруется и перед пользователем отобразится сообщение с email-адресом и Bitcoin-адресом, а также зашифрованным контентом. Более того, если зараженный документ сохранить и открыть потом на незаражённом ПК, то цепочка заражения повторится.
Для шифрования используется алгоритм XOR. Ключ шифрования всегда один и тот же и включен в каждый зашифрованный документ.
Ключ дешифрования: "I’m QkG@PTM17! by TNA@MHT-TT2"
Суммируем: Что происходит при закрытии документа?
1) Вредонос QkG изменяет настройки Office, разрешая программный доступ к объектной модели Office VBA (AccessVBOM) и деактивирует Защищенный просмотр (Protected View), чтобы макросы выполнялись автоматически и без запросов. Для этого QkG изменяет в реестре параметры: DisableAttachmentsInPV, DisableInternetFilesInPV и DisableUnsafeLocationsInPV.
2) Вредоносный код QkG внедряется в шаблон Word-документов normal.dot – стандартный шаблон для всех документов Word.
3) Содержимое всех документов на ПК жертвы шифруется при помощи XOR и в конец каждого документа добавляется сообщение с требованием выкупа.
Список файловых расширений, подвергающихся шифрованию:
Это документы MS Office и совместимых приложений.
Файлы, связанные с этим Ransomware:
Tuyen bo chung Viet Nam - Hoa Ky.dotm
infected file normal.dot
<random>.LNK
index.dat
~$Normal.dotm
~WRS{random}.tmp
~$<random>.doc
New Microsoft Word Document.docx
Расположения:
%APPDATA%\Microsoft\Office\Recent\<random>.LNK
%APPDATA%\Microsoft\Office\Recent\index.dat
%APPDATA%\Microsoft\Templates\~$Normal.dotm
%LOCALAPPDATA%\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{random}.tmp
C:\~$<random>.doc
%USERPROFILE%\Desktop\New Microsoft Word Document.docx
Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.
Сетевые подключения и связи:
BTC: 14zA1NdTgtesLWZxtysLQQtsuKzjFbpydg
См. ниже результаты анализов.
Код разблокировки:
I'm QkG @ PTM17! By TNA @ MHT-TT2
Результаты анализов:
Ⓥ VirusBuy анализ >>
VirusTotal анализ образца 2d*** >>
VirusTotal анализ образца 2e*** >>
VirusTotal анализ образца e6*** >>
Гибридный анализ >>
Образец 2d*** выполняет дешифрования, но не активирован в исходном коде QkG и потому не работает.
В образце 2e*** процедура шифрования ещё не реализована, есть только комментарий списка дел QkG.
Образец e6*** заражает не все файлы после их закрытия, исключаются файлы по времени создания.
Степень распространённости: низкая.
Подробные сведения собираются регулярно.
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===
=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
Read to links:
Tweet on Twitter
ID Ransomware (ID as qkG)
Write-up, Write-up, Topic of Support
*
Thanks:
Jaromir Horejsi, BleepingComputer
Michael Gillespie
Andrew Ivanov (article author)
© Amigo-A (Andrew Ivanov): All blog articles.