DECAF Ransomware

Программа-вымогатель DECAF демонстрирует растущую тенденцию киберпреступников отходить от типичных языков программирования в пользу менее популярных или экзотических вариантов. Цель состоит в том, чтобы повысить шансы их угрожающих творений избежать обнаружения средствами защиты от вредоносных программ и кибербезопасности. Одним из новых вариантов в ландшафте угроз, который использовался при создании DECAF, является Go, объектно-ориентированный кроссплатформенный язык с открытым исходным кодом. Другие угрозы вымогателей, которые также были написаны с использованием Go, - это Babuk , HelloKitty и Hive .

Вредная функциональность

При развертывании на скомпрометированных системах программа-вымогатель DECAF инициирует процесс шифрования, который блокирует данные жертвы. Угроза использует механизм фильтрации файлов, чтобы избежать непоправимого ущерба операционной системе или двойного шифрования любых файлов.случайно. Таким образом, он сканирует, а затем игнорирует все файлы с расширением «.decaf» с именем README.txt или соответствующие встроенному списку файлов, папок и расширений, выбранных злоумышленниками.

После создания зашифрованной копии каждого целевого файла оригинал должен быть удален из системы. Чтобы гарантировать, что жертвы не смогут восстановить оригиналы, DECAF использует cipher.exe, который вызывается для каждого каталога и задает задачу перезаписать там удаленные данные. Записка с требованием выкупа сбрасывается в виде файла README.txt, и его копия будет помещена в каждую папку, содержащую зашифрованные файлы.

В стадии активного развития

По мнению экспертов информационной безопасности, программа-вымогатель DECAF все еще находится в стадии разработки.быстро, когда киберпреступники добавили новые функции и методы защиты от обнаружения. Модификации можно четко увидеть, сравнив исходную отладочную версию, которая была обнаружена предварительной версией DECAF. Злоумышленники усложнили угрозу, добавив обфускацию строк. Скрытые строки деобфускируются с помощью различных пользовательских функций во время выполнения. Несколько новых версий DECAF уже были замечены в обращении в дикой природе. Чтобы защитить свою критически важную инфраструктуру, компаниям необходимо скорректировать свои политики кибербезопасности, чтобы учесть меняющиеся модели атак злоумышленников.