برنامج DECAF Ransomware

تُظهر DECAF Ransomware الاتجاه المتزايد بين مجرمي الإنترنت للابتعاد عن لغات البرمجة النموذجية لصالح الخيارات الأقل شهرة أو الغريبة. الهدف هو زيادة فرص إبداعاتهم المهددة لتجنب اكتشافها بواسطة حلول مكافحة البرامج الضارة والأمن السيبراني. أحد الخيارات الناشئة في مشهد التهديد ، والخيار المستخدم في إنشاء DECAF هو Go ، وهي لغة مفتوحة المصدر وموجهة للكائنات ومتعددة المنصات. تهديدات برامج الفدية الأخرى التي تمت كتابتها أيضًا باستخدام Go هي Babuk و HelloKitty و Hive .

وظائف ضارة

عند نشرها على الأنظمة المخترقة ، ستبدأ DECAF Ransomware عملية التشفير الخاصة بها والتي ستقفل بيانات الضحية. التهديد يعتمد على آلية تصفية الملفات لتجنب التسبب في ضرر لا يمكن إصلاحه لنظام التشغيل أو تشفير مزدوج لأي ملفاتبطريق الخطأ. على هذا النحو ، فإنه يمسح ثم يتجاهل جميع الملفات التي تحمل امتداد ".decaf" ، المسمى README.txt ، أو مطابقة قائمة مضمنة من الملفات والمجلدات والامتدادات التي اختارها المهاجمون.

بعد إنشاء النسخة المشفرة من كل ملف مستهدف ، يجب مسح النسخة الأصلية من النظام. للتأكد من أن الضحايا لن يتمكنوا من استعادة النسخ الأصلية ، يستخدم DECAF cipher.exe ، والذي يتم استدعاؤه لكل دليل ويتم تكليفه بالكتابة فوق البيانات المحذوفة هناك. يتم إسقاط مذكرة فدية التهديد كملف README.txt وسيتم وضع نسخة داخل كل مجلد يحتوي على الملفات المشفرة.

تحت التطوير النشط

وفقًا لخبراء infosec ، لا يزال برنامج DECAF Ransomware قيد التطويربسرعة مع إضافة مجرمي الإنترنت المزيد من الميزات وتقنيات مكافحة الكشف. يمكن رؤية التعديلات بوضوح من خلال مقارنة إصدار التصحيح الأولي الذي تم اكتشافه بواسطة الإصدار التجريبي من DECAF. عزز المهاجمون من تعقيد التهديد عن طريق إضافة تشويش السلسلة. يتم إلغاء التعتيم على السلاسل المخفية عبر وظائف مخصصة مختلفة في وقت التشغيل. تم بالفعل ملاحظة العديد من إصدارات DECAF الجديدة المتداولة في البرية. لحماية بنيتها التحتية الحيوية ، تحتاج الشركات إلى تعديل سياسات الأمن السيبراني الخاصة بها لمراعاة أنماط الهجوم المتغيرة للجهات الفاعلة في التهديد.