DECAF Ransomware
DECAF Ransomware демонстрира нарастващата тенденция сред киберпрестъпниците да се отдалечат от типичните езици за програмиране в полза на по-малко популярни или екзотични избори. Целта е да се увеличат шансовете за техните заплашителни творения, за да не бъдат открити от анти-зловреден софтуер и решения за киберсигурност. Един от нововъзникващите избори в ландшафта на заплахите и този, използван при създаването на DECAF, е Go, език с отворен код, обектно-ориентиран и междуплатформен език. Други заплахи за рансъмуер , които също са написани с Go са Babuk , HelloKitty и Hive .
Вредна функционалност
Когато се внедри в компрометираните системи, DECAF Ransomware ще започне своя процес на криптиране, който ще заключи данните на жертвата. Заплахата разчита на механизъм за филтриране на файлове, за да избегне причиняването на непоправими щети на операционната система или двойно криптиране на файловеслучайно. Като такъв, той сканира и след това игнорира всички файлове, носещи разширение '.decaf', наречено README.txt, или съответстващи на вграден списък с файлове, папки и разширения, избрани от нападателите.
След като криптираното копие на всеки целеви файл е създадено, оригиналът трябва да бъде изтрит от системата. За да гарантира, че жертвите няма да могат да възстановят оригиналите, DECAF използва cipher.exe, който се извиква за всяка директория и има задача да презапише изтритите данни там. Бележката за откуп за заплахата се отхвърля като файл README.txt и копие ще бъде поставено във всяка папка, съдържаща криптираните файлове.
Под активно развитие
Според експертите на infosec, DECAF Ransomware все още се разработвабързо, като киберпрестъпниците добавят повече функции и техники за анти-засичане. Модификациите могат да се видят ясно чрез сравняване на първоначалната версия за отстраняване на грешки, която беше уловена от предварителната версия на DECAF. Направените нападатели увеличиха сложността на заплахата, като добавиха обфускация на низове. Скритите низове се разкриват чрез различни персонализирани функции по време на изпълнение. Няколко нови версии на DECAF вече са наблюдавани да циркулират в дивата природа. За да защитят своята критична инфраструктура, компаниите трябва да коригират политиките си за киберсигурност, за да отчетат променящите се модели на атака на участниците в заплахата.
