Die Ransomware qkg hat Word-Nutzer im Visier

Neuer Verschlüsselungstrojaner aufgetaucht

Der Verschlüsselungstrojaner RANSOM_CRYPTOQKG.A (kurz qkg) hat es demnach auf Anwender von Microsoft Word abgesehen, wie com-magazin unter Berufung auf die Erkenntnisse von Trend Micro berichtete. Der Verlauf der Infektion erfolgt über Makros in Word-Dokumenten, das natürlich vom Opfer vorher geöffnet werden muss. Dazu gehört auch die Erlaubnis das Makros ausgeführt werden dürfen.

Anders als bei den meisten Ransomware-Attacken muss das schädliche Skript nicht erst heruntergeladen werden, vielmehr ist es direkt in das Dokument integriert. Zunächst merkt der Nutzer nicht, dass er angegriffen wurde. Der Schädling wird erst aktiv, wenn das manipulierte Dokument wieder geschlossen wird.

Word Sicherheitseinstellungen außer Kraft

Der aktive Schädling setzt die Sicherheitseinstellungen von Word zurück und erlaubt somit, dass Office-Anwendungen Makros automatisch zulassen. Daneben wird das Template „normal.dot“ modifiziert. Das bedeutet, erstellt der Nutzer nun über dieses Template ein neues Dokument, ist der Verschlüsselungstrojaner automatisch integriert. Aktiv wird dieser aber ebenfalls erst nachdem das Dokument geschlossen wurde.

Im Anschluss erhält das Opfer eine Nachricht mit einer E-Mail- sowie einer Bitcoin-Adresse und den verschlüsselten Inhalten angezeigt. Wie die Forscher dazu entdeckten,  ist der Verschlüsselungskey bei allen Dokumenten identisch  und in jedem Dokument direkt enthalten. Der Schadcode verschlüsselt laut Trend Micro allerdings nicht sämtliche auf dem Rechner befindlichen Dateien, sondern nur aktive, also geöffnete Dokumente.

qkg ein Proof of Concept

Laut den Sicherheistexperten von Trend Micro handelt es sich bei der derzeitigen Entwicklungslage um ein sogenanntes Proof of Concept, das heißt ein experimentelles Stadium. Es deutet jedoch auf eine große Gefährlichkeit des  Schädlings hin. Entdeckt wurde die Schadsoftware auf VirusTotal. Dort sei es Trend Micro zufolge aus Vietnam hochgeladen worden.