DECAF勒索軟件
DECAF 勒索軟件展示了網絡犯罪分子從典型的編程語言轉向不太流行或異國情調的選擇的日益增長的趨勢。目標是增加他們的威脅創作的機會,以避免被反惡意軟件和網絡安全解決方案檢測到。威脅領域的新興選擇之一,以及用於創建 DECAF 的選擇是 Go,一種開源、面向對象的跨平台語言。其他也使用 Go 編寫的勒索軟件威脅是Babuk 、 HelloKitty和Hive 。
有害功能
當部署在受感染的系統上時,DECAF 勒索軟件將啟動其加密過程,鎖定受害者的數據。該威脅依賴於文件過濾機制,以避免對操作系統造成不可修復的損壞或對任何文件進行雙重加密偶然。因此,它會掃描並忽略所有帶有".decaf"擴展名的文件,名為 README.txt,或匹配攻擊者選擇的文件、文件夾和擴展名的嵌入列表。
創建每個目標文件的加密副本後,必須從系統中擦除原始文件。為確保受害者無法恢復原件,DECAF 使用了 cipher.exe,它會為每個目錄調用,並負責覆蓋那裡已刪除的數據。威脅的贖金記錄作為 README.txt 文件被丟棄,並且將在每個包含加密文件的文件夾中放置一個副本。
正在積極發展中
據信息安全專家稱,DECAF 勒索軟件仍在開發中隨著網絡犯罪分子迅速添加更多功能和反檢測技術。通過比較 DECAF 的預發布版本捕獲的初始調試版本,可以清楚地看到修改。攻擊者通過添加字符串混淆來提高威脅的複雜性。隱藏的字符串在運行時通過不同的自定義函數去混淆。已經觀察到幾個新的 DECAF 版本在野外流通。為了保護其關鍵基礎設施,公司需要調整其網絡安全政策,以應對威脅參與者不斷變化的攻擊模式。
