Paradise勒索軟件的完整源代碼已被發(fā)布在一個(gè)黑客論壇上，這將使任何網(wǎng)絡(luò)罪犯都能夠開(kāi)發(fā)自己的定制版勒索軟件。

據(jù)悉，在黑客論壇XSS上發(fā)布的源代碼鏈接，只有之前在該論壇上回復(fù)過(guò)其他帖子的活躍用戶才能訪問(wèn)。

帶有勒索軟件源代碼的帖子

Security Joes的研究員發(fā)現(xiàn)帖子中的軟件包涵蓋了三個(gè)可執(zhí)行文件：贖金軟件配置構(gòu)建器、加密器和解密器。

勒索軟件源代碼

并且，如上圖所示，整個(gè)源代碼中充斥著俄文注釋，這些注釋可以證明開(kāi)發(fā)者的母語(yǔ)為俄語(yǔ)。

被公開(kāi)的源代碼可以讓攻擊者使用構(gòu)建器來(lái)制定屬于自己的勒索軟件版本，該構(gòu)建器包括一個(gè)自定義命令和控制服務(wù)器、加密文件擴(kuò)展名和聯(lián)系電子郵件地址。

Paradise勒索軟件構(gòu)建器

定制的勒索軟件被創(chuàng)建完成之后，創(chuàng)建者可以立即在他們的活動(dòng)中向目標(biāo)受害者分發(fā)惡意軟件。

Paradise勒索軟件介紹

2017年9月，Paradise勒索軟件首次被發(fā)現(xiàn)，其通過(guò)包含惡意IQY附件的釣魚(yú)郵件發(fā)起攻擊，這些附件下載并安裝了勒索軟件。

之后，該勒索軟件又發(fā)布了多個(gè)版本，由于最初的版本中含有缺陷，因此研究人員對(duì)其進(jìn)行研究并發(fā)布了Paradise的解密器。

然而，新版本的Paradise將加密方法更改為RSA，這就使原先的解密器“失效”了，文件無(wú)法再被免費(fèi)解密。

創(chuàng)建最初版本Paradise勒索軟件解密器的Michael Gillespie表示，現(xiàn)已發(fā)布的Paradise版本包括：

• Paradise——解密器可適用的最初版本。
• Paradise .NET ——一個(gè).NET版本，它將加密算法轉(zhuǎn)換為使用RSA加密。
• Paradise B29 ——一個(gè)變體，只對(duì)文件的末端進(jìn)行加密。

不幸的是，此次被公布源代碼的是.NET版本的Paradise，它使用RSA加密無(wú)法被解密器破解。

該研究人員表示，目前并不清楚上述版本是否由同一個(gè)組織開(kāi)發(fā)，因?yàn)樗麄兌际窃诖蠹s統(tǒng)一時(shí)間以數(shù)千種不同的擴(kuò)展名流傳的。并且，日益流行的RaaS(勒索軟件即服務(wù))也為其推廣推波助瀾。

不過(guò)，根據(jù)提交給ID Ransomware的統(tǒng)計(jì)數(shù)據(jù)，Paradise勒索軟件在2017年9月至2020年1月期間大量傳播，之后卻突然減弱?，F(xiàn)在，它的身影已經(jīng)很少被觀察到。

ID Ransomware上的Paradise數(shù)據(jù)

參考來(lái)源：bleepingcomputer