DECAF勒索软件
DECAF 勒索软件展示了网络犯罪分子从典型的编程语言转向不太流行或异国情调的选择的日益增长的趋势。目标是增加他们的威胁创作的机会,以避免被反恶意软件和网络安全解决方案检测到。威胁领域的新兴选择之一,以及用于创建 DECAF 的选择是 Go,一种开源、面向对象的跨平台语言。其他也使用 Go 编写的勒索软件威胁是Babuk 、 HelloKitty和Hive 。
有害功能
当部署在受感染的系统上时,DECAF 勒索软件将启动其加密过程,锁定受害者的数据。该威胁依赖于文件过滤机制,以避免对操作系统造成不可修复的损坏或对任何文件进行双重加密偶然。因此,它会扫描并忽略所有带有".decaf"扩展名的文件,名为 README.txt,或匹配攻击者选择的文件、文件夹和扩展名的嵌入列表。
创建每个目标文件的加密副本后,必须从系统中擦除原始文件。为确保受害者无法恢复原件,DECAF 使用了 cipher.exe,它会为每个目录调用,并负责覆盖那里已删除的数据。威胁的赎金记录作为 README.txt 文件被丢弃,并且将在每个包含加密文件的文件夹中放置一个副本。
正在积极发展中
据信息安全专家称,DECAF 勒索软件仍在开发中随着网络犯罪分子迅速添加更多功能和反检测技术。通过比较 DECAF 的预发布版本捕获的初始调试版本,可以清楚地看到修改。攻击者通过添加字符串混淆来提高威胁的复杂性。隐藏的字符串在运行时通过不同的自定义函数去混淆。已经观察到几个新的 DECAF 版本在野外流通。为了保护其关键基础设施,公司需要调整其网络安全政策,以应对威胁参与者不断变化的攻击模式。
