Paradise勒索病毒最新变种利用.net开发 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770593

飞翔币: 207694

威望: 215657

飞扬币: 2511651

信誉值: 8

只看楼主更多操作 0 发表于: 2021-05-24

威胁等级：★★★★Paradise勒索病毒最早出现在2018年7月，最新发现的变种以.NET框架开发，运行后使用对称加密算法或非对称加密算法RSA对受害者文件进行加密，再使用RSA算法加密密钥，被加密文件后缀为‘.safe’，没有作者私钥的情况下暂时无法解密文件。

背景介绍

Paradise勒索病毒，翻译成中文是 “天堂勒索”，最早出现在2018年7月，后续不断有变种出现，此次变种以.NET框架开发，病毒运行后使用对称加密算法（3DES）或非对称加密算法RSA（在RSA密钥长度足够长时才使用该算法）对受害者文件进行加密，使用RSA算法加密密钥，被加密文件后缀为‘.safe’，没有作者私钥的情况下暂时无法解密文件。

图：勒索弹框

该病毒会加密几乎所有文件类型（.html除外)，每个被加密文件名格式为：’原文件名[用户ID][ opensafezona@cock.li ].safe ‘

图：被加密文件结构

病毒MD5：796AE749F39C4E68F9C96662945F7111
威胁等级：★★★★

病毒演示视频

[font=Helvetica, Tahoma, Arial, &quot]

技术分析

获取特殊文件路径：”C:\Users\用户名\AppData\Roaming“，判断该路径下”unINuHNrnUCEbTqEfhAfztuiqgH.html “文件是否存在，如果该文件存在，则不使用RSA加密文件；判断该路径下 ”kWYZrzIYZR.html “文件是否存在，如果该文件存在，则启动勒索弹框并退出本程序。

图：查找指定文件

判断”C:\Users\用户名\AppData\Roaming“路径下的”GavyZYQ.html“文件是否存在，并给该文件写入标记值”55“，如果”55“已存在，则将其覆写为"1361"：

图：检查指定标记

根据这个文件的检查结果判断是否以管理员方式运行：

图：以管理员权限运行

判断病毒程序所在目录下的"WwaeqJlhHGwUnMkoCjA.html"文件是否存在，该文件保存的是用户的唯一ID，标识被感染机器。如果该ID文件不存在，则随机生成8个字符的ID值，并将其写入到勒索信息的特定位置上”$ID_of_client$“：

图：查找ID文件

ID生成函数：

图：ID生成函数

加密算法部分
首先会生成RSA密钥对：

图：生成RSA密钥对

使用病毒文件中硬编码的RSA公钥加密RSA私钥，

图：作者的RSA公钥加密RSA私钥

将加密的RSA私钥转换成Base64编码，随后判断该编码后的数据大小是否等于1024字节，如果等于1024字节，则会使用该私钥对应的RSA公钥进行加密文件，否则使用3DES加密算法加密文件。

图：判断RSA私钥长度

如果RSA私钥长度不满足，则生成3DES的key 、IV，
密钥采用RSA-公钥加密，加密后的数据采用Base64编码，保存在以下3个文件：’C:Users用户名DocumentskfGnrbH.html‘、’C:Program FileskfGnrbH.html‘、’C:\Users\用户名\AppData\RoamingkfGnrbH.html‘

图：3DES密钥生成与保存文件

文件加密部分
获取有效磁盘：

图：获取有效磁盘

遍历磁盘，加密文件，优先加密各个磁盘中的文件，最后加密桌面文件

图：遍历磁盘

在遍历磁盘文件时，会跳过以下目录：’windows‘、’firefox‘、’chrome‘、’google‘、’opera‘、’桌面路径‘，并在每个要加密的目录下释放勒索信息文件：’_BACK_FILES~.html‘

图：选择目录

加密文件时，会跳过以下后缀名的文件：‘.safe’、‘.html’

图：选择文件

采用RSA公钥加密时
判断文件大小，分别将文件大小与64KB和117字节进行比较，从而加密不同位置的数据。被加密数据在特定标记 ‘<CRYPTED>’ 与 ‘</CRYPTED>’ 之间：

图：判断文件大小

大于64KB时，会选择文件尾部的63999字节进行加密：