勒索軟體瞄準Office文件而來，還會感染Word範例檔自我繁殖

趨勢科技發現勒索軟體qkG filecoder鎖定單一檔案型，並且是少數完全以VBA巨集實作而成，和一般勒索軟體不同的是，它使用Auto Close VBA巨集，在使用者關閉文件後才執行，而且只加密文件內容，而不破壞檔案結構、竄改檔名（示意圖，與新聞事件無關。）。

趨勢科技上周公佈一支鎖定Office文件而來的勒索軟體qkG filecoder，還會藉由感染Microsoft Office Word的範例檔以自我複製。

趨勢科技研究人員Jaromir Horejsi是在本月越南每天上傳至Google的VirusTotal檔案掃瞄工具的大量可疑檔案中發現qkG，檔案程式碼包含些許越文，甚至還有作者代號TNA-MHT-TT2。

這隻名為qkG filecoder的勒索軟體很特別的是，它只鎖定單一種檔案類型，而且也是少數完全以VBA巨集實作而成的檔案加密惡意程式。且不同於一般勒索軟體利用巨集下載勒索軟體，它運用惡意巨集的方式也很罕見。

研究人員解釋，新病毒和Locky其中一種變種勒索軟體.lukitus很類似，都是使用Auto Close VBA巨集，會在使用者關閉文件後才執行，只是.lukitus會下載並執行勒索軟體，再來加密目標檔案，而qkG只攪亂Office文件檔程式碼。因此qkG很特殊的是，它只加密文件內容，卻不破壞檔案結構，而且也未變更檔名，也沒有一般勒索軟體會有的勒索訊息。此外也只有曾開啟的文件才會被加密。

qkG最值得注意的是它會修改Office Word的normal.dot範例檔，附在這個檔案上。這表示未來使用者再開啟Word，就會再次載入並執行，並且感染、加密其他文件檔。所幸qkG用的是很簡單的XOR加密技巧，不但解密金鑰都一樣，而且也都可見於被加密的文件中。

《全文請見iThome（https://www.ithome.com.tw/news/118576）》