官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
Paradise勒索软件的完整源代码已被发布在一个黑客论坛上,这将使任何网络罪犯都能够开发自己的定制版勒索软件。
据悉,在黑客论坛XSS上发布的源代码链接,只有之前在该论坛上回复过其他帖子的活跃用户才能访问。
带有勒索软件源代码的帖子
Security Joes的研究员发现帖子中的软件包涵盖了三个可执行文件:赎金软件配置构建器、加密器和解密器。
勒索软件源代码
并且,如上图所示,整个源代码中充斥着俄文注释,这些注释可以证明开发者的母语为俄语。
被公开的源代码可以让攻击者使用构建器来制定属于自己的勒索软件版本,该构建器包括一个自定义命令和控制服务器、加密文件扩展名和联系电子邮件地址。
Paradise勒索软件构建器
定制的勒索软件被创建完成之后,创建者可以立即在他们的活动中向目标受害者分发恶意软件。
Paradise勒索软件介绍
2017年9月,Paradise勒索软件首次被发现,其通过包含恶意IQY附件的钓鱼邮件发起攻击,这些附件下载并安装了勒索软件。
之后,该勒索软件又发布了多个版本,由于最初的版本中含有缺陷,因此研究人员对其进行研究并发布了Paradise的解密器。
然而,新版本的Paradise将加密方法更改为RSA,这就使原先的解密器“失效”了,文件无法再被免费解密。
创建最初版本Paradise勒索软件解密器的Michael Gillespie表示,现已发布的Paradise版本包括:
Paradise——解密器可适用的最初版本。
Paradise .NET ——一个.NET版本,它将加密算法转换为使用RSA加密。
Paradise B29 ——一个变体,只对文件的末端进行加密。
不幸的是,此次被公布源代码的是.NET版本的Paradise,它使用RSA加密无法被解密器破解。
该研究人员表示,目前并不清楚上述版本是否由同一个组织开发,因为他们都是在大约统一时间以数千种不同的扩展名流传的。并且,日益流行的RaaS(勒索软件即服务)也为其推广推波助澜。
不过,根据提交给ID Ransomware的统计数据,Paradise勒索软件在2017年9月至2020年1月期间大量传播,之后却突然减弱。现在,它的身影已经很少被观察到。
ID Ransomware上的Paradise数据