趨勢(shì)科技上周公布一支鎖定Office文件而來(lái)的勒索軟件qkG filecoder，還會(huì)藉由感染Microsoft Office Word的范例檔以自我復(fù)制。

　　趨勢(shì)科技研究人員Jaromir Horejsi是在本月越南每天上傳至Google的VirusTotal檔案掃瞄工具的大量可疑檔案中發(fā)現(xiàn)qkG，檔案程式碼包含些許越文，甚至還有作者代號(hào)TNA-MHT-TT2。

　　這只名為qkG filecoder的勒索軟件很特別的是，它只鎖定單一種檔案類型，而且也是少數(shù)完全以VBA巨集實(shí)作而成的檔案加密惡意程式。且不同於一般勒索軟件利用巨集下載勒索軟件，它運(yùn)用惡意巨集的方式也很罕見。

　　研究人員解釋，新病毒和Locky其中一種變種勒索軟件。lukitus很類似，都是使用Auto Close VBA巨集，會(huì)在使用者關(guān)閉文件後才執(zhí)行，只是。lukitus會(huì)下載并執(zhí)行勒索軟件，再來(lái)加密目標(biāo)檔案，而qkG只攪亂Office文件檔程式碼。因此qkG很特殊的是，它只加密文件內(nèi)容，卻不破壞檔案結(jié)構(gòu)，而且也未變更檔名，也沒有一般勒索軟件會(huì)有的勒索訊息。此外也只有曾開啟的文件才會(huì)被加密。

　　qkG最值得注意的是它會(huì)修改Office Word的normal.dot范例檔，附在這個(gè)檔案上。這表示未來(lái)使用者再開啟Word，就會(huì)再次載入并執(zhí)行，并且感染、加密其他文件檔。所幸qkG用的是很簡(jiǎn)單的XOR加密技巧，不但解密金鑰都一樣，而且也都可見於被加密的文件中。

　　基於qkG的現(xiàn)有觀察，研究人員表示它目前看來(lái)比較像概念驗(yàn)證勒索軟件，而非已經(jīng)開始流傳的惡意程式。但是qkG在研究過程中一直經(jīng)過改良，原本連比特幣錢包位址也沒有，兩天後的版本就加入，而且還多了可在特定日期、時(shí)間加密文件機(jī)制，接著新版本又衍生新的行為。由於qkG 使用惡意巨集的行為相當(dāng)特殊，研究人員相信未來(lái)可能改造、擴(kuò)展成具有威脅性的網(wǎng)路攻擊。