qkG是一款利用VBA宏进行文件加密的勒索软件变种，这是一款经典的宏恶意软件，会感染word的模板文件（normal.dot），因此所有基于模板文件的新的和空word文档都会感染。

通过对qkG深入的分析发现它更像是实验的项目或者PoC，而不是投入使用的恶意软件。然而，这并不意味着qkG的威胁小。qkG的样本证明，程序开发者和其他威胁制造者可以调整qkG的行为和所用的技术。比如，去年11月21日发现第一个样本时，还没有勒索的比特币地址。仅仅2天后，就有了比特币地址，而且可以在特定的时间加密文档。第3天的时候，就出现了不同行为的qkG样本。

恶意软件行为

qkG文件加密器是一款完全用VBA宏写的文件加密恶意软件，在市面上这类软件很少。也是少数使用恶意宏代码的勒索软件，一般宏在应用中主要是用于下载勒索软件。qkG使用恶意宏聚集了Locky勒索软件变种使用的技术，该勒索软件使用了Auto Close VBA宏。当用户关闭文档时，恶意宏就会自动执行。Ukitus Locky宏代码会提取和帮助执行勒索软件，然后加密被感染主机中的目标文件，但是qkG的宏代码只scramble文件。

qkG中值得注意的行为包括加密文件的内容，但是不破坏文件的结构，也不改变文件名。系统中不会有勒索注释，但是预先考虑到文件的内容。qkG会影响ActiveDocument，这意味着只有打开的文档会被加密。

Figure 1 qkG body中的名字和作者

从越南上传到VirusTotal的样本含有一些越南语。宏恶意软件的主体表明开发者命名它为qkG，字符串TNA-MHT-TT2应该是作者的名字。

感染链

当即将感染的受害者开启了宏，normal.dot模版就被感染了，恶意宏代码就被加入到模板文件中了。当word的实例被打开后，含有恶意代码的normal.dot模版就会被加载和执行。

恶意宏代码会降低word的安全设置，这样就不用要求用户开启宏了。如何降低office安全设置等级依赖于office的版本和需求：

· 通过修改下面的注册表来解除保护视图（Protected View）：DisableAttachmentsInPV， DisableInternetFilesInPV，和DisableUnsafeLocationsInPV

· 关闭特征——阻止来自Internet内容的执行(Blockcontentexecutionfrominternet)

· 开启对 VBA object model (AccessVBOM)的程序访问

· 把安全等级设置为low

之前的修改执行后，qkG就会感染normal.dot模板文件，增加Document_Close() autostart 宏并把自己复制到文档中。

Figure 2 增加到normal.dot模板中的恶意宏代码

qkG工作原理

当用户打开未受感染的文档，刚开始并不会发生什么。但是一旦用户关闭文档，qkG就会加密文件的内容。并且会展示一条带有邮箱和比特币地址的消息和加密的内容。qkG文件加密器会增加Document_Open() autostart 宏到加密的文档，并把自己复制到body中。也就是说，如果一个文档在安全的机器中打开，感染链就会重复。

Figure 3文档加密后展示给受害者的勒索消息

所用的加密方法就是简单的XOR密码，加密密钥是相同的，并且就在每个加密的文档中。

假设我们创建了一个内容为“1234567890”的文档，在受感染的机器上关闭文档后，奇数字符就会被硬编码的密码’m [email protected]! by [email protected]中对应的字符XOR加密，偶数字符是不变的。加密后的文档内容如图所示：

 1     2     3     4     5     6     7     8     9     0
31 00 32 00 33 00 34 00 35 00 36 00 37 00 38 00 39 00 30 00
31 XOR 49 (I) = 78 
32 remains
33 XOR 27 (‘) = 14
34 remains

样本

样本2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571 含有解密路径。但是并不包含在恶意软件body中，因此不工作。这可能是因为该恶意软件仍在开发中。

Figure 4 qkG样本中的解密路径

样本2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e不含有解密路径，这也是一个未完成的勒索软件，因为clipboard是不会出现在完成了的加密勒索软件中的。

Figure 5 另外一个qkG样本

 

样本e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66在关闭的时候不立即感染所有的文件，而是添加一个条件，日期的星期必须等于现在时间的分模10。

Figure 6 qkG变种加密文件的时间条件

我们发现这个比特币地址目前还没有任何交易记录。

Figure 7 qkG的比特币交易记录

 

缓解措施

关闭宏可以明显减少基于宏的恶意软件的攻击，比如qkG。经常更新系统和应用，备份数据，限制可以被攻击者利用的工具、组件等的使用。基于宏的恶意软件经常利用社会工程学的文

IoC

Hashes (SHA-256):

· 2d20d5751ffbac9290271969860106fdd34309878a1e06f9dbcac23a7f50b571

· 2e1136a2bfddb108cd3b3a60761113797265b281085ae35e185a4233d2e75d8e

· e6b15419059e833424e9c726e9b0b085d9f0fcb2cccbfe1025b0d0f8a1735a66.doc