AG公司

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务 AG公司网站清静监测服务Websafe AG公司黑洞云洗濯服务 CCSS AG公司网站云防护服务 WCP AG公司威胁情报中心NTI AG公司科技威胁情报云端解决计划 AG公司科技威胁情报外地解决计划 AG公司威胁检测与响应服务MDR AG公司外部攻击面治理服务EASM AG公司轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营 AG公司云 AG公司云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京AG公司公益基金会鲲鹏基金产品清静软件升级

返回列表

【清静通告】“私人订制”勒索软件，带你揭秘Paradise源代码

2021-07-08

一. 事务概述

克日，AG公司科技CERT监测到Paradise勒索软件的源代码遭到泄露，由于现在尚且无法破解经由Paradise加密的数据，若此源代码在互联网上大规模撒播，可能引起较大风波。

Paradise勒索软件源代码于6月12日在暗网某俄罗斯黑客论坛上被果真，成为继2020年Dharma之后第二个源代码遭到泄露的主流勒索软件。

二. Paradise的宿世今生

1、Paradise最早被发明于2017年9月，接纳勒索软件即服务（Ransomware-as-a-Service）模式举行分发，早期主要通过垂纶邮件中的链接和附件举行撒播，目的主要针对小我私家终端用户和小型企业，勒索信息界面如下：

2、2019年10月使用Salsa20和RSA-1024加密算法的版本（加密后缀： .paradise、.2ksys19、.p3rf0rm4、.FC）被清静厂商Emsisoft解密，并宣布相识密工具：

https://www.emsisoft.com/ransomware-decryption-tools/download/paradise

3、随后Paradise运营职员宣布了新版本，但2020年1月Bitdefender再次宣布了针对性的解密工具：

https://labs.bitdefender.com/wp-content/uploads/downloads/paradise-ransomware-decryptor/

新版本勒索信息界面如下：

4、2020年后Paradise的运动显着镌汰，最后发明的样本运动时间是今年(2021)1月份，嫌疑该项目可能已被放弃。

某恶意软件平台上，关于该病毒提交的统计：

2017-2020年间宣布的版本统计：

Paradise：初始版本，保存加密误差，可被解密

Paradise .NET：一个清静的.net版本，改用RSA加密

Paradise B29：某“团队”的变种版本，只加密文件的最后

三. 源代码剖析与验证

3.1 天生器：DP_Builder

本次泄露的是Paradise勒索病毒天生器代码，使用该程序可以天生“Paradise勒索全家桶”，包括勒索程序，解密程序和私钥获取程序。

DP_Builder编译运行之后界面如下：

1：输出RSA加密向量，可以使用Generate按钮随机天生

2：加密文件后缀名（原始状态是俄文，此处举行了翻译）

3：勒索软件服务器地点，用于网络信息

4：AdminKey，与加密无关，用于区别天生器使用者的身份

填入以上字段后会将Site和AdminKey生涯在Server.info文件中。下次运行Builder程序将读取该文件内容举行自动填充。

保存Server.info文件时，Builder程序界面：

1，2处为两个Email字段的文本输入窗口（推测一个email用于显示给受害者，一个用于web认证），3输入联系方法，用于License和加密文件后缀。

使用Create build功效，会依次编译天生勒索程序，解密程序和私钥获取程序。

勒索程序，解密程序和私钥获取程序，这三部分的代码生涯在DP_Builder的资源文件中。每次天生时会随机天生1024bit的RSA密钥，并将私钥内置到勒索程序中，具备一定加密清静性。

天生的三个程序可以通过.Net反编译工具获取源码：

3.2 加密器：DP_Main

DP_Main.cs为勒索主程序。涉及到的功效和标准的勒索软件功效一致，主要包括：加密磁盘文件，拷贝自身光暂时目录，修改注册表实现开机自启，删除磁盘卷影备份。

3.2.1 使用RSA对文件举行加密

DP_Builder程序将RSA公钥，iv值等变量硬编码在程序中。

程序启动次数统计，并实验以治理员权限运行。

勒索程序运行时会检查是否保存之宿世成的密钥文件，若是保存则直接举行加密。

若是是首次运行会建设一个新的RSA密钥对，用于加密文件操作；并且使用程序内置的RSA公钥，对新天生用于加密的RSA私钥举行加密生涯。

主要代码如下，从中会发明只有首次运行时才会举行修改注册表和删除磁盘卷影备份的操作。

在SavePrivateKey函数中，对用于加密的私钥举行加密。由于解密文件需要该私钥，可是该私钥被MasterRSA公钥加密，而MasterRSA私钥又掌握在攻击者手中，从而实现勒索的目的。

3.2.2 拷贝自身并开机自启

将自身拷贝到%APPDATA%/DP/DP_Main.exe，并修改注册表实现开机自启。

3.2.3 删除磁盘卷影备份

使用CMD下令参数删除磁盘卷影备份

3.2.4 回传加密信息

之后获取磁盘信息，最先对外地文件举行加密。并且加密完成后会上传加密信息，再显示勒索文件，勒索文件的路径为%APPDATA%/DP/welldone.dp。

3.2.5 加密细节

若是被加密文件大于64KB则只加密文件尾部，不然加密所有文件数据。

勒索程序会优先对数据库目录举行加密：

并且会跳过系统和浏览器相关目录。

另外勒索程序中保存GetNetwork函数，执行了new view，new user下令，可是该函数并未被使用，推测可能用于加密网络共享文件。

注：在对密钥举行加密时，原代码使用字符串拼接的要领，会导致密钥解密过失，在剖析时，将相关代码举行了修改。

3.2.6 加密效果

加密完成后释放以下文件：

在C:\Users\xxx\Documents或者C:\Program Files (x86)\DP目录释放DecryptionInfo.auth文件，生涯加密文件时的RSA密钥信息。下图开头部分是被加密的私钥，私钥部分经由RSA加密，红框部分为明文公钥。

在%APPDATA%\DP拷贝程序自身，后缀名为dp的文件划分用来纪录程序是否乐成以治理员权限运行和是否通盘加密完成。

在与勒索程序相同路径建设id.dp文件，生涯信息，该信息可能用于标识攻击者身份。

在每个文件夹中都会建设#DECRYPT MY FILES#.html文件，该文件默以为空，需要攻击者自行写入内容。

3.3 密钥解密器：DP_Keygen

该程序通过MasterRSA私钥对用于加密的RSA私钥解密，界面如下：程序运行时要包管ExtraKey.dp（由DP_Builder天生）文件与程序在相同目录下。

1：被加密的私钥数据，一样平常生涯在熏染主机的C:\Program Files (x86)\DP\DecryptionInfo.auth文件中。

2：显示解密后的RSA私钥数据（经由base64编码）

3：也可以输入受害者ID（该值可以在受害者机械中的id.dp或者被加密的文件名中获�。�，在线盘问被加密的私钥信息，然后在外地解密显示，相关代码如下：

DP_Keygen启动后会在外地加载ExtraKey.dp文件，该文件生涯MasterRSA的私钥信息。若是外地不保存，会实验通过服务器获取。

3.4 解密器：DP_Decrypter

输入解密后的RSA私钥，点击“Check sytax of key”；确认私钥可用后，可以选择解密通盘文件，照旧解密单个文件。

可是在代码中发明有趣的一点，此解密工具对“通盘解密”加了一个限制。要求密钥的第4个字符为‘t’，检测保存这个字符才可以开启通盘验证开关，解密时会将这个字符删掉。

即：受害者只有在收到攻击者提供的解密后的密钥息争密程序DP_Decrypter.exe之后，才华解密文件：

四. 勒索软件提防建议

增强企业员工清静意识培训，禁止易翻开生疏邮件或运行泉源不明的程序；

只管扫除危险端口对外开放，使用IPS、防火墙等装备对危险端口举行防护（445、139、3389等）；

开启Windows系统防火墙，通过ACL等方法，对RDP及SMB服务会见举行加固；

通过Windows组战略设置账户锁定战略，对短时间内一连上岸失败的账户举行锁定；

增强主机账户口令重漂后及修改周期治理，并只管扫除泛起通用或纪律口令的情形；

修改系统治理员默认用户名，扫除使用admin、administrator、test等常见用户名；

装置具备自�；さ姆啦《救砑�，避免被黑客退出或竣事历程，并实时更新病毒库；

实时更新操作系统及其他应用的高危误差清静补��；

准时对主要营业数据举行备份，避免数据破损或丧失。

声明

本清静通告仅用来形貌可能保存的清静问题，AG公司科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，AG公司科技以及清静通告作者不为此肩负任何责任。

AG公司科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经AG公司科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。

<<上一篇

【清静通告】Windows Print Spooler远程代码执行误差（CVE-2021-1675/CVE-2021-34527）处置惩罚手册

>>下一篇

【清静通告】YAPI认证用户使用Mock功效举行远程执行代码通告

?

您的联系方法

购置热线

提交项目需求

接待加入AG公司科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

AG公司(中国集团)·有限公司官网

AG公司(中国集团)·有限公司官网

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

AG公司科技社区

AG公司科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于AG公司: 公司先容; 公司声誉; AG公司书橱; AG公司新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系AG公司: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: AG公司云; AG公司威胁情报中心NTI; TechWorld手艺嘉年华; 北京AG公司公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS AG公司科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号