一个糟糕的消息，Paradise勒索病毒又上新了

大家好，我是零日情报局。

Paradise勒索病毒，至少从2017年流行到现在，近日研究人员再次捕捉到了它的新踪迹。

据Lastline研究人员表示，Paradise勒索病毒最近以亚洲某组织为目标，疑为测试最新变种，该变种利用合法的Internet查询文件（IQY）绕过企业防御系统。也就是时隔半年未见，Paradise勒索病毒又找到了新宿主藏身。

而新版Paradise勒索病毒的特别之处远不止这一点，这就相当有趣了。下面，零日给大家介绍一下这个尚在“测试版”的Paradise勒索病毒变种。

特点1：合法的IQY文件

以合法IQY文件为保护壳，说实话零日看了这招，一方面觉得有点“鬼才”，另一方面也想看看，Paradise究竟是如何利用IQY文件的？

这就要从IQY文件本身说起了，IQY文件是Microsoft Excel读取的简单文本文件，可以从Internet下载数据，是可武器化的Microsoft Office文件格式中不常见的那个。

为什么说是“可武器化的文件”？因为该公式可能会滥用系统进程，例如PowerShell、cmd、mshta或任何其他LoLBins（非现场二进制文件）。大家都知道，这是合法的Excel文件类型，因此许多网络管理设备不会阻止或过滤该文件，于是，Paradise病毒的机会就来了。

简单来说，IQY文件为攻击者提供了一种渗透网络的快捷方式，其利用过程如下：

先通过Necurs僵尸网络分发IQY附件，来传播与Paradise勒索病毒绑定的程序，FlawedAmmyy 远控木马。

然后，接下来要做的是诱使用户打开恶意IQY附件，该附件会从攻击者的C2服务器中检索恶意脚本。

包含远程恶意脚本位置的恶意IQY附件

此恶意脚本包含一个用于运行PowerShell命令的命令，该命令将下载并调用可执行文件。

恶意脚本

成功利用IQY文件躲过防御系统后，Paradise勒索病毒还利用了自动注入技术，直接将原始进程的内存替换为勒索病毒的执行代码。

特点2：特定的语言白名单

如下图所示，在勒索病毒开始后、执行语言检查之前，还包含一次动态代码解析过程，通过手动PEB遍历动态地获取了WinAPI。

PEB遍历/ API解析

然后，我们就会发现Paradise勒索病毒的语言检查功能。这个新变种会检查机器的语言ID是俄语、哈萨克语、白俄罗斯语、乌克兰语，还是塔塔尔语。

检查特定语言

正如我们看到的那样，如果目标语言是上述选项之一，则勒索病毒会停止攻击。

杀死进程

很好，在这里我们不妨大胆推测，新版Paradise勒索病毒的真实攻击者，就在藏那份语言白名单之中。

特点3：更难检测的加密算法

接下来，就是Paradise勒索病毒的攻击加密过程。和大多数勒索病毒一样，新变种加密函数在遍历文件系统的同时，也会注意避开可能破坏系统运行的文件。

在这里要强调的是，该病毒的隐匿特性不止藏在IQY文件中一点，还有它所利用的Salsa20加密算法。使用此算法的好处很明显，攻击者可以将其实现到源代码中，而不是调用系统函数。

文件加密步骤

也就是说，使用Salsa20加密算法可让检测加密例程更加困难。

可执行文件加密之前/之后

加密后，我们看到，每个加密文件的扩展名变为：“<文件名> _decryptor_ {unique_id} .tor”。

更改加密文件的扩展名

然后，病毒会释放标题为“ — ==％$$$ OPEN_ME_UP $$$ == —。txt ”的勒索信息，并在加密例程完成后自动打开。该赎金记录要求受害者访问一个在线聊天页面，以接收有关如何解密文件的说明。

勒索信息

看到这里，我们基本上弄清楚了Paradise勒索病毒新变种是怎么回事了。

特点4：特殊的时间格式

按照勒索信息指示，研究人员尝试和勒索者沟通，聊天登录页面如下。

勒索病毒聊天登录页面

然后我们看到的是，一条自动消息以及聊天室的相关规则。

勒索病毒聊天页面

尽管攻击者尚未在聊天中有所回复，但是有一个细节值得大家注意，那就是聊天页面的时间日期格式与许多欧洲国家/地区中使用的格式匹配。

我们重新审视该恶意病毒的静态特征，其编译时间戳为“2019-12-08 18:42:38（UTC）”，在欧洲大约在晚上7:42左右落入。再结合上文的语言白名单来看，新变种的“出生地”不是俄罗斯，就是乌克兰。

狡猾的“创新者”

新版病毒“强”在哪里？看完上面串起整个攻击过程的四个特性就知道了，那肯定是隐匿性和针对性更强。奇怪的是，研究人员只发现了该变种针对亚洲某一组织的攻击活动，不过，如果把这次攻击当做是一次新版本测试那就很好解释了。

受攻击组织提供IQY的SMTP流量

Paradise勒索病毒绝对称得上是“老熟人”了，偏偏它还十分狡猾，总是在“攻击-解密-新变种-再解密”的循环中不断自我创新。

2018年7月，Paradise勒索病毒开始大规模入侵我国，加密除系统以及部分浏览器文件夹内部文件以外的所有文件，加密后生成“超长后缀+勒索声明+定制用户ID”三连套餐。

2019年3月，Paradise勒索病毒再度袭来，改头换面以UPX加壳、借用了CrySiS家族的勒索信息，代码结构也区别于早期版本。

2019年8月，最新Paradise变种病毒再次被截获，将自身主体代码在内存中解密后执行，靠Flash漏洞传播，专攻FlashPlayer版本较低的用户。

2019年10月，Paradise勒索家族KimChinIm、Support两大病毒变种接连涌现，与以往已知的Paradise病毒仍有较大差异，这里就不一一细说了。

看看，这就是Paradise勒索病毒的狡猾之处：每一次变种都搭载不同的技术或算法，与此前存在巨大差异。

千言万语还是一句话，零日认为应警惕新一轮的Paradise勒索攻击，并建议企业：

1.   赶紧对重要数据文件进行非本地备份，时刻注意；

2.   千万要及时修复漏洞、打补丁，升级登录口令并避免使用同一口令；

3.   警惕不明来源的邮件及网站，不要乱下载不明来源的附件文件；

4.   一定要减少/关闭不必要的文件共享权限。

零日反思

勒索病毒的逃避技术远超我们想象，它们想尽办法利用新方式或技术超越基本防御措施，而大家对它们的了解却并不广泛。今天，我们了解了一种Paradise勒索病毒新变种，但这只是其庞大家族的冰山一角，勒索病毒更新迭代千变万化，却仍是网络安全的重要杀手。

零日情报局作品

微信公众号：lingriqingbaoju