Эксперты из компании Trend Micro обнаружили новый вид вируса-шифровальщика, который работает прямо внутри макроса Microsoft Word. На данный момент зловред под названием qkG явно находится на стадии тестирования и разработки, однако инновационный метод заражения уже вызвал у специалистов серьезное беспокойство.

В отличие от множества других вредоносов, которые эксплуатируют макросы для запуска стороннего кода, новый вирус работает сам по себе. После открытия зараженного документа пользователю предлагается «разрешить редактирование». Включение функции запускает вредоносный код на Visual Basic, который не проявляет себя, пока пользователь не закроет файл. Как и шифровальщик Locky в одном из недавних исполнений, вирус использует функцию onClose.

При закрытии документа qkG меняет настройки Microsoft Office, выключая «Безопасный режим» и разрешая автоматическое выполнение макросов. Далее он добавляет код шифровальщика в файл normal.dot, где хранится стандартный шаблон Word. Все новые документы, которые пользователь создаст с этого момента, будут запускаться со зловредным «дополнением» и, как следствие, сразу шифроваться. Текущий файл вирус также шифрует с применением простой XOR-функции, а в конец текста добавляет сообщение с требованием выкупа — $300 в биткойнах. Наименование и расширение файла остаются без изменений. Зловред поражает только открытые документы — пока файл лежит в папке, вирус обходит его стороной. Распространяется qkG через пересылку зараженных документов.

Вернуть содержимое файлов в исходное состояние оказывается несложно. В код вредоноса вшит ключ для расшифровки, своеобразная подпись разработчика: I’m QkG@PTM17! by TNA@MHT-TT2. Эксперты предполагают, что это не более чем отладочная версия новой технологии. На онлайн-сканер VirusTotal загружено несколько вариантов кода, каждый с разным набором функций. В самой ранней версии не было даже номера BTC-кошелька. В другой не оказалось алгоритма расшифровки, т. е. в реальной эксплуатации зловред представлял бы собой вайпер наподобие ExPetr или недавнего Ordinypt. Третья вариация умеет работать с содержимым буфера обмена. Наконец, еще одна запускает шифрование по расписанию — в установленное время определенного дня недели.

На данном этапе у qkG нет рабочей версии, которая представляла бы серьезную угрозу для пользователей. Однако использованная технология позволяет зловредам обойти встроенную защиту Microsoft Office и запускать практически любой код при полном неведении пользователя. На практике это продемонстрировал итальянский специалист Лино Антонио Буоно (Lino Antonio Buono).

По умолчанию Microsoft отключает в своих продуктах запуск макросов из внешних и непроверенных источников. Доступ к объектной модели VBA также ограничен, чтобы неавторизованные программы не могли создать самореплицирующийся вредоносный код. При необходимости пользователь должен вручную разрешить доступ через меню безопасности макросов. Однако, как выяснил Буоно, эту настройку можно поменять через реестр Windows. В результате вредоносный макрос сможет самостоятельно создавать и запускать другие макросы. Эта абсолютно легитимная функция не вызовет подозрений у антивирусных программ.

Буоно продемонстрировал описанную технику на видео. Он создал Word-документ, который в самом деле редактирует реестр и далее вставляет VBA-код в каждый новый документ. Таким образом, если жертва один раз разрешила файлу исполнение макросов, система становится уязвимой для любых последующих атак на их основе. Более того, все пользователи, которые откроют у себя документ с зараженного компьютера и запустят макрос, также окажутся беззащитны. Это тем более опасно, что даже если пользователь не доверяет вложениям в письмах от незнакомых отправителей, то Word-документ от коллеги или знакомого подозрений не вызовет. А системы безопасности, как говорилось выше, не смогут предупредить об угрозе.

Эксперт заключает, что единственным средством защиты является запрет на изменение реестра для всех пользователей, кроме администратора. Тем же, кто постоянно работает под учетной записью с расширенными правами, следует проявлять особую осторожность, пока Microsoft не выпустит защитное обновление.

Категории: Вредоносные программы, Главное, Уязвимости