Из-за нового вируса-шифровальщика QKG теперь даже макросы чрезвычайно опасны

Сотрудники компании Trend Micro выявили особенный вид зловреда, распространяющегося через макросы Microsoft Word. Судя по коду вируса qkG, он активно разрабатывается, но, интересный способ заражения заставил обеспокоиться специалистов.

Основная особенность данного вредоноса – самостоятельность работы внутри макроса. В то время как раньше вирусы использовали макросы для распространения тела вредоносной программы, qkG действует обособленно. При открытии пораженного вирусом документа выводится сообщение, предлагающее «разрешить редактирование». Положительный ответ приводит к выполнению скрипта Visual Basic, который остается в памяти до закрытия документа.

После завершения работы с файлом qkG изменяет параметры запуска Word, включая функцию выполнения макросов в автоматическом режиме. Параллельно вставляется вредоносный код в normal.dot, хранящий в себе базовый шаблон Microsoft Office,. Теперь все вновь созданные документы будут шифроваться и открываться с вирусным «дополнением». XOR-функция шифрует файл, блокирует его для пользователя и выводит сообщение с требованием перевести деньги. Имя документа при этом не меняется. Вирус заражает только активные файлы – все документы, хранящиеся на компьютере, qkG не трогает. Распространение происходит через пересылку вредоносных файлов.

Информация при этом не теряется безвозвратно, а вернуть ее не так уж и сложно. Код содержит в себе ключ расшифровки, своего рода подпись разработчика: «I’m QkG@PTM17! by TNA@MHT-TT2». Специалисты считают, что это только пробные версии инновационной технологии. Для эксперимента было загружено несколько версий зловреда с различным набором опций. В первоначальном варианте не отображался даже номер биткоин кошелька для перевода средств. Другая модификация способна работать с буфером обмена. В третьей версии отсутствовал алгоритм расшифровки, фактически получается, при реальной работе вирус имел бы вид вайпера вроде Ordinypt или ExPetr. Еще одна вариация умеет активироваться заранее предусмотренное разработчиком время.

В данный момент нет рабочего варианта вируса, который смог бы создать серьезные проблемы для интернет-пользователей. При этом применяемая злоумышленниками технология дает возможность обходить защитную систему Microsoft Office и внедрять абсолютно любой код в фоновом режиме. Этот факт доказал итальянский инженер Лино Антонио Буоно.

Изначально в Microsoft Word отключена функция выполнения внешних макросов. К управлению приложениями доступ тоже закрыт по-умолчанию, чтобы программы не могли внедрить в документ вредоносный код. В случае необходимости доступа внешних приложений к документу пользователю сам указывает необходимые разрешения. Буоно продемонстрировал, что данное действие можно совершить и через реестр Windows. В итоге макрос с вирусным кодом может формировать и активировать исполнение макросов без ведома пользователя. Эта изменение реестра не привлечет внимания антивирусных программ.

Вышеописанная техника была продемонстрирована специалистом в видеофильме. Таким образом, достаточно один раз разрешить выполнение макросов, чтобы компьютер начал запускать в работу qkG. Кроме того, все другие получатели зараженных файлов сделают свою систему беззащитной для любых других подобных атак. И даже если пользователь не будет открывать вложения от подозрительных лиц, то документ от знакомого товарища все равно заразит систему.

Единственное решение – разрешить вносить приложениям изменения в реестре только  с правами администратора. Если это невозможно, соблюдайте особую осторожность до тех пор, пока Microsoft не разработает соответствующую «заплатку».

Спасибо за внимательность!
Выделите опечатку и нажмите Ctrl + Enter, чтобы отправить сообщение об ошибке.