会判断系统语言的勒索病毒——Paradise

2019-04-03   

威胁等级:★★★★
Paradise勒索病毒运行后使用对称算法加密受害者文件,使用RSA算法加密密钥,没有作者RSA私钥无法解密文件,病毒会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行加密操作,目前国内已经有用户中招。

背景介绍

Paradise勒索病毒,翻译成中文是 “天堂勒索” ,此病毒运行之后使用对称算法加密受害者文件,使用RSA算法加密密钥,没有作者RSA私钥无法解密文件,病毒会判断系统语言,如果系统语言在指定列表中则删除自身,否则执行加密操作,国内已经有用户中招。

病毒MD5:EBE849F2FE19C22A2A10C679834E499B

威胁等级:★★★★

病毒攻击视频

查杀病毒视频

拦截病毒视频

技术分析

病毒运行后首先获取系统语言,如果是以下语言则退出并删除自身,不执行加密操作。

图:获取系统语言
表:排除的语言

如果不在排除列表中,则开始执行恶意功能

首先从资源中复制出作者的RSA公钥

图:从资源中获取RSA公钥
图:病毒硬编码到资源中的RSA公钥
图:获取到的作者RSA公钥

获取到公钥之后,首先降低系统安全性

通过注册表禁用 windows系统自带的安全软件 Windows Defender

图:禁用Windows Defender

删除系统自带的卷影备份

图:删除卷影备份

结束制定进程和服务,防止加密时文件被占用,主要是数据库相关的进程和服务

遍历进程,找到之后结束进程

图:结束指定进程
图:查找的进程

查找并结束指定服务

图:结束指定服务
图:查找的服务

之后开始执行加密的操作

随机生成对称算法密钥,使用此密钥加密所有文件

图:生成对称算法的密钥

此密钥在内存中有两份,一份用来加密文件,加密后清空。

另一份被RSA公钥加密,并追加到每个被加密文件末尾。

图:密钥的复制

使用从资源中复制出来的作者RSA公钥加密对称算法密钥

图:加密对称算法密钥

遍历磁盘,每个磁盘使用一个线程加密

图:遍历磁盘

进入加密线程后,遍历磁盘中的所有文件,排除指定文件和文件夹

图:遍历文件

为了提高加密速度,此病毒只会加密文件的前0x2800字节,也就是10240字节

图:加密文件

释放勒索文本

图:释放勒索文本
图:勒索文本内容

加密完成后,将加密文件的密钥清空。此密钥已经被RSA算法加密,写入到被加密文件末尾。从而保证了,只有攻击者的RSA私钥可以解密此密钥,从而解密文件。

图:清空加密文件的密钥

弹出勒索窗口

勒索窗口 模仿Crysis勒索,但是可以看出 Paradise Ransomware

图:勒索窗口

防范措施

  1. 不下载可疑程序
  2. 及时更新系统补丁,升级软件版本
  3. 不使用弱口令账号密码
  4. 安装杀毒软件
  5. 安装防勒索软件

[责任编辑:瑞瑞]