Исследователи по инфорбезопасности обнаружили новый вид вируса-вымогателя, терроризирующего пользователей одного из самых популярных текстовых редакторов мира — Microsoft Word. Зловред, который называется qkG, поражает шаблон Normal.dot, который используется при открытии нового пустого документа.
Эксперты говорят о том, что хотя этот вирус больше похож на прототип, чем на сформировавшуюся угрозу, это не делает его менее опасным для пользователей. Его создатель или другой злоумышленник смогут легко адаптировать уже существующие механики вымогателя и превратить его в настоящее кибероружие.
Вьетнамский след
Зловред qkG с момента обнаружения в начале ноября уже претерпел некоторые изменения — если сначала он представлял собой лишь шифровальщик, спустя десять дней в нем появилась ссылка на криптокошелек, предлагая жертве атаки заплатить денежный выкуп в биткоинах, эквивалентный $300, чтобы вернуть зашифрованные данные.
Вирус работает следующим образом — пользователь скачивает и открывает зараженный Word-документ. После клика на кнопку «Разрешить редактирование» запускается специальный макрос qkG.
Как только пользователь запускает зараженный макрос, стандартный шаблон пустого документа Normal.dot также становится инфицированным. При каждом запуске Microsoft Word этот шаблон загружается и инициирует действие вируса.
«Когда юзер открывает незараженный документ, поначалу ничего не происходит», — заявляет представитель ИБ-компании Trend Micro, которая обнаружила вирус, — «однако, qkG зашифровывает данные пользователя после закрытия документа, а также демонстрирует ему сообщение с электронной почтой и биткоин-кошельком».
Неприятным аспектом работы этого вируса является заражение всех открытых документов Microsoft Word инфицированным шаблоном при каждом запуске программы. Кроме того, если жертва решит поделиться таким файлом с другим человеком, его система также подхватит вирус через Normal.dot.
Исследователи отмечают, что пока не было зафиксировано ни одной транзакции, связанной с этим вирусом, что свидетельствует о небольших масштабах распространения вымогателя.
ИБ-эксперты проанализировали новый вирус-вымогатель и предположили, что его создатель проживает во Вьетнаме. В коде зловреда были обнаружены некоторые слова на вьетнамском языке, а сам он был загружен с вьетнамского IP-адреса.
Напоминаем, в мае 2017 года стало известно о нескольких громких кибератаках при участии хакеров из Вьетнама, которых якобы спонсирует государство. Эту группировку окрестили APT32 и приписали ей хакерские взломы некоторых крупных иностранных компаний с интересами во Вьетнаме.
Среди жертв хакеров оказалась немецкая промышленная компания, которая планировала построить фабрику в Азии, китайский владелец сети отелей, местный филиал британской консалтинговой фирмы и др.
Правительство Вьетнама отрицает любую причастность к кибератаке и группировке APT32, но эксперты считают, что преступные действия, совершенные в интересах конкретной нации, не могу не вызывать подозрение.
Пробный запуск
Руководитель направления защиты от угроз «нулевого дня» Check Point Software Technologies Сергей Невструев рассказал «Газете.Ru», что шифровальщик qKG представляет интерес, потому что отличается от привычных вариантов: зловред полностью написан на VBA (Visual Basic для приложений), а обычно скрипт, который внедряют в зараженные документы и файлы, является только загрузчиком собственно вредоносной программы.
Эксперт подтвердил информацию о том, что qKG — это скорее пробный выстрел, который пока проверяет существующую технологию. В пользу этого говорят слишком примитивное шифрование и слабая самозащита вируса.
Несмотря на то, что макровирусы существовали с момента появления VBA, Microsoft показывал предупреждение, когда пользователь открывает документ, содержащий макросы, рассказывает Ладислав Зезула, специалист по исследованию вредоносного ПО компании Avast. По его словам, это способствовало исчезновению макровирусов на определенный период времени.
«С 2016 года злоумышленники начали использовать методы социальной инженерии, чтобы заставить людей включать макросы, и, как следствие, это привело к тому, что макровирусы снова появились в ходу», — заявил Зезула.
Заместитель директора по развитию компании «Айдеко» Дмитрий Хомутов пояснил, что главной защитой от подобных вирусов может стать обучение пользователей элементарным правилам цифровой гигиены: не доверять полученным от неизвестных источников файлам и ни в коем случае не разрешать им выполнение макросов и других потенциально опасных действий.
«Естественно, что антивирусная проверка почтового трафика на почтовых серверах или релеях, а также антивирус на рабочих станциях также могут быть хорошей защитой, так как вирус уже добавлен в сигнатурные базы всех популярных антивирусных компаний», — сообщил собеседник «Газеты.Ru».