会判断系统语言的勒索病毒——Paradise
2019-04-03
威胁等级:★★★★
Paradise勒索病毒运行后使用对称算法加密受害者文件,使用RSA算法加密密钥,没有作者RSA私钥无法解密文件,病毒会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行加密操作,目前国内已经有用户中招。
背景介绍
Paradise勒索病毒,翻译成中文是 “天堂勒索” ,此病毒运行之后使用对称算法加密受害者文件,使用RSA算法加密密钥,没有作者RSA私钥无法解密文件,病毒会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行加密操作,国内已经有用户中招。
病毒MD5:EBE849F2FE19C22A2A10C679834E499B
威胁等级:★★★★
病毒攻击视频
查杀病毒视频
拦截病毒视频
技术分析
病毒运行后首先获取系统语言,如果是以下语言则退出并删除自身,不执行加密操作。
图:获取系统语言
表:排除的语言
如果不在排除列表中,则开始执行恶意功能
首先从资源中复制出作者的RSA公钥
图:从资源中获取RSA公钥
图:病毒硬编码到资源中的RSA公钥
图:获取到的作者RSA公钥
获取到公钥之后,首先降低系统安全性
通过注册表禁用 windows系统自带的安全软件 Windows Defender
图:禁用Windows Defender
删除系统自带的卷影备份
图:删除卷影备份
结束制定进程和服务,防止加密时文件被占用,主要是数据库相关的进程和服务
遍历进程,找到之后结束进程
图:结束指定进程
图:查找的进程
查找并结束指定服务
图:结束指定服务
图:查找的服务
之后开始执行加密的操作
随机生成对称算法密钥,使用此密钥加密所有文件
图:生成对称算法的密钥
此密钥在内存中有两份,一份用来加密文件,加密后清空。
另一份被RSA公钥加密,并追加到每个被加密文件末尾。
图:密钥的复制
使用从资源中复制出来的作者RSA公钥加密对称算法密钥
图:加密对称算法密钥
遍历磁盘,每个磁盘使用一个线程加密
图:遍历磁盘
进入加密线程后,遍历磁盘中的所有文件,排除指定文件和文件夹
图:遍历文件
为了提高加密速度,此病毒只会加密文件的前0x2800字节,也就是10240字节
图:加密文件
释放勒索文本
图:释放勒索文本
图:勒索文本内容
加密完成后,将加密文件的密钥清空。此密钥已经被RSA算法加密,写入到被加密文件末尾。从而保证了,只有攻击者的RSA私钥可以解密此密钥,从而解密文件。
图:清空加密文件的密钥
弹出勒索窗口
勒索窗口 模仿Crysis勒索,但是可以看出 Paradise Ransomware
图:勒索窗口
防范措施
- 不下载可疑程序
- 及时更新系统补丁,升级软件版本
- 不使用弱口令账号密码
- 安装杀毒软件
- 安装防勒索软件
编辑:瑞瑞 阅读: