Paradise勒索软件源代码发布,允许攻击者“自定义”。据悉,黑客论坛XSS上发布的源代码链接,只有之前在论坛上回复过其他帖子的活跃用户才能访问。发布带有勒索软件源代码的帖子SecurityJoes研究人员发现,帖子中的软件包包含三个可执行文件:勒索软件配置生成器、加密器和解密器。勒索软件源码而且,如上图所示,整个源码中全是俄语注释,可以证明开发者的母语是俄语。暴露的源代码允许攻击者使用包含自定义命令和控制服务器、加密文件扩展名和联系人电子邮件地址的构建器来制作他们自己的勒索软件版本。ParadiseRansomwareBuilder创建自定义勒索软件后,创建者可以立即将恶意软件分发给目标受害者,作为其活动的一部分。Paradise勒索病毒简介2017年9月,Paradise勒索病毒首次被发现。它通过包含恶意IQY附件的钓鱼邮件发起攻击,下载并安装勒索软件。从那时起,已经发布了多个版本的勒索软件。由于初始版本存在缺陷,研究人员对其进行了研究并发布了Paradise的解密器。但新版Paradise将加密方式改为RSA,使得原来的解密器“失效”,无法再免费解密文件。根据创建Paradise勒索软件解密器原始版本的MichaelGillespie的说法,已发布的Paradise版本包括:Paradise-解密器适用的初始版本。Paradise.NET-将加密算法转换为使用RSA加密的.NET版本。ParadiseB29-一种仅加密文件末尾的变体。遗憾的是,此次发布的源代码是Paradise的.NET版本,采用RSA加密,无法被解密器破解。研究人员表示,尚不清楚上述版本是否由同一小组开发,因为它们都在同一时间以数千种不同的扩展名传播。此外,日益流行的RaaS(勒索软件即服务)也助长了其推广。然而,根据提交给IDRansomware的统计数据,Paradise勒索软件在2017年9月至2020年1月期间大幅传播,然后突然减弱。现在,它的身影已经很少见了。关于ID勒索的Paradise数据参考来源:bleepingcomputer
