Todos los derechos reservados BITTIN 2015
Tel. (601) 7425944 - (+57) 305 7309799 – Dirección: Cr 7 # 29-34 Bogotá Colombia
Bogotá 24 de Noviembre de 2017.
Los investigadores de seguridad han descubierto una nueva cepa ransomware llamada qkG que se dirige únicamente a documentos de Office para el cifrado e infecta la plantilla de documento predeterminada de Word para propagarse a nuevos documentos del mismo programa abiertos a través del paquete de Office en el mismo equipo, este ransomware aún está en desarrollo y todavía no ha afectado a ninguna víctima en el mundo real. qkG es una rareza en la escena del ransomware porque funciona de manera muy diferente a las amenazas similares.
Si bien este nuevo ataque de ransonware es diferente su propósito será que el mismo cifrar archivos de Word y pedir una suma de dinero para que regrese la información, qkG su forma de propagación será Word donde luego de abrirlo y darle editar edición que permite la ejecución de macro scripts el código VBA una vez instalado el código no te darás cuenta que algo allá sucedido ya que función en modo onclose una vez cierras el documento este quedará afectado codificando el contenido en este en XOR, Añade una nota de rescate al final del documento actual. No cambia el nombre del documento ni la extensión del archivo. La nota de rescate se ve en la imagen de abajo. Su mayor problema sería la propagación modifica la plantilla de normal.dot y le agrega una copia de ella. Esto significa que cada vez que los usuarios inician Word de nuevo, la plantilla normal.dot modificada con el código malicioso se carga y ejecuta, ejecutando el ransomware y además Si el usuario comparte uno de estos documentos con otros usuarios, si habilitan las macros, también infectará.
Si bien solo fue descubierto en la base de datos de VirusTotal por investigadores ten las mismas precauciones de siempre no abras por ningún motivo correos, cadenas que no conozcas la procedencia cuida de tus dispositivos e información.
Autor: Andrés Córdoba
Fuente: redeszone