Los profesionales de la seguridad han descubierto una variante nueva de ransomware que parece funcionar de forma ligeramente diferente a los ransomware tradicionales. qkG, que es el nombre de este malware, está preparado para infectar documentos de Word, a través de los cuales crea documentos maliciosos, que se hacen con el control de tu PC cuando los abres. Según los investigadores, se trata del primer ransomware escrito por completo en macros de Visual Basic para aplicaciones.
El funcionamiento de qkG es simple y directo: cuando el usuario activa las macros de su documento Word, la plantilla .dot se infecta, haciendo que cada vez que el usuario abra la aplicación Microsoft Word, la plantilla infectada se cargue y ejecute el ransomware. Esto es mucho más sofisticado que los métodos de ransomware tradicionales, que aunque también usen macros, lo hacen para instalar el malware y ya está. En este caso, la primera vez que ejecutes el documento no te aparecerá nada raro, y es más fácil que pase desapercibido.
Un método más sofisticado de infección, pero eso es todo
Los chicos de Trend Micro han advertido que “qkG encriptará todo el contenido de tus archivos una vez que cierres el documento, y entonces mostrará un mensaje en la pantalla de tu PC con una dirección de correo y un monedero virtual de Bitcoin, solicitando dinero”. La buena noticia es que el método de encriptado que utiliza qkG es un cifrado XOR muy sencillo, y su clave de encriptación siempre es la misma.
Según el análisis de los investigadores, el hacker malicioso responsable de qkG se hace llamar TNA-MHT-TT2 y parece estar localizado en Vietnam. Esto tendría sentido, ya que el código fuente de qkG contiene comentarios en vietnamita. Es muy probable que este hacker haya utilizado a qkG como campo de pruebas, ya que aunque el método de infección es mucho más sofisticado que el de otros ransomware, el encriptado y el resto del malware deja bastante que desear. Así que habrá que tener cuidado con lo que descargamos por internet, ya que es posible que el hacker en cuestión esté preparando otra versión más peligrosa.
