DECAFランサムウェア

DECAFランサムウェアは、サイバー犯罪者の間で、あまり人気のない、またはエキゾチックな選択肢を優先して、典型的なプログラミング言語から離れる傾向が高まっていることを示しています。目標は、マルウェア対策ソリューションやサイバーセキュリティソリューションによって検出されないように、脅威となる作品の可能性を高めることです。脅威の状況における新たな選択肢の1つであり、DECAFの作成に使用されたものは、オープンソースのオブジェクト指向のクロスプラットフォーム言語であるGoです。 Goを使用して作成された他のランサムウェアの脅威は、 Babuk 、 HelloKitty 、およびHiveです。

有害な機能

侵害されたシステムに配備されると、DECAFランサムウェアは被害者のデータをロックする暗号化プロセスを開始します。この脅威は、ファイルフィルタリングメカニズムに依存して、オペレーティングシステムに修復不可能な損傷を与えたり、ファイルを二重に暗号化したりすることを回避します。誤って。そのため、README.txtという名前の「.decaf」拡張子を持つすべてのファイル、または攻撃者が選択したファイル、フォルダ、拡張子の埋め込みリストに一致するすべてのファイルをスキャンして無視します。

各ターゲットファイルの暗号化されたコピーが作成された後、元のファイルをシステムからワイプする必要があります。被害者が元のファイルを復元できないようにするために、DECAFはcipher.exeを使用します。これは、ディレクトリごとに呼び出され、そこで削除されたデータを上書きするタスクを実行します。脅威の身代金メモはREADME.txtファイルとしてドロップされ、暗号化されたファイルを含む各フォルダー内にコピーが配置されます。

活発な開発中

infosecの専門家によると、DECAFランサムウェアはまだ開発中ですサイバー犯罪者がより多くの機能と検出防止技術を追加することで急速に。変更は、DECAFのプレリリースバージョンによってキャッチされた初期デバッグバージョンを比較することで明確に確認できます。攻撃者は、文字列の難読化を追加することで、脅威の複雑さを高めました。非表示の文字列は、実行時にさまざまなカスタム関数を介して難読化が解除されます。いくつかの新しいDECAFバージョンがすでに野生で循環しているのが観察されています。重要なインフラストラクチャを保護するために、企業はサイバーセキュリティポリシーを調整して、脅威アクターの攻撃パターンの変化に対応する必要があります。