Ransomware qkg kommt via Word

  • Allgemein

  • HotPi
  • 1119 Aufrufe 0 Antworten

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Ransomware qkg kommt via Word

    Ransomware qkg kommt via Word
    Sicherheitsforscher haben eine neue Ransomware-Familie entdeckt, die es auf Microsoft-Word-Nutzer abgesehen hat. Der Schädling verschlüsselt geöffnete Dokumente und verseucht neu erstellte Office-Dateien.
    von Alexandra Lindner 27.11.2017

    Die Sicherheitsforscher von Trend Micro haben eine neue Ransomware-Familie entdeckt. Der Verschlüsselungstrojaner RANSOM_CRYPTOQKG.A (kurz qkg) hat es demnach auf Anwender von Microsoft Word abgesehen.

    Die Infektion erfolgt über Makros in Word-Dokumenten. Dazu muss ein Opfer das verseuchte Dokument öffnen und das Ausführen von Makros erlauben. Anders als bei den meisten Ransomware-Attacken muss das schädliche Skript nicht erst heruntergeladen werden, vielmehr ist es direkt in das Dokument integriert. Zunächst merkt der Nutzer nicht, dass er angegriffen wurde. Der Schädling wird erst aktiv, wenn das manipulierte Dokument wieder geschlossen wird.
    Danach setzt der Schadcode die Sicherheitseinstellungen von Word zurück. Office-Anwendungen lassen dann zum Beispiel die Ausführung von Makros automatisch zu. Ferner modifiziert die Ransomware das Template normal.dot. Erstellt der Nutzer nun über dieses Template ein neues Dokument, ist der Verschlüsselungstrojaner automatisch integriert. Aktiv wird dieser aber ebenfalls erst, nachdem das Dokument geschlossen wurde. Dann bekommt das Opfer eine Nachricht mit einer E-Mail- sowie einer Bitcoin-Adresse und den verschlüsselten Inhalten angezeigt. Die Forscher haben allerdings auch entdeckt, dass der Verschlüsselungskey bei allen Dokumenten identisch und zudem in jedem Dokument direkt enthalten ist.

    Der Schadcode verschlüsselt laut Trend Micro allerdings nicht sämtliche auf dem Rechner befindlichen Dateien, sondern nur aktive, also geöffnete Dokumente.

    qkg ist noch experimentell

    Laut den Sicherheitsexperten handelt es sich bei qkg derzeit noch um eine Art experimentelles Projekt beziehungsweise ein Proof of Concept. Das mache den Schädling aber nicht weniger gefährlich. Vielmehr liefert es einen kleinen Eindruck davon, was Nutzer in Zukunft erwarten könnte. Entdeckt wurde die Schadsoftware auf VirusTotal. Dort sei es Trend Micro zufolge aus Vietnam hochgeladen worden.



    Quelle: Ransomware qkg kommt via Word

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von HotPi ()