paradise 《c到她乖》黑暗森林 _《

文章插图

大家好，我是零日情报局。

Paradise勒索病毒，至少从2017年流行到现在，近日研究人员再次捕捉到了它的新踪迹。

文章插图

据Lastline研究人员表示，Paradise勒索病毒最近以亚洲某组织为目标，疑为测试最新变种，该变种利用合法的Internet查询文件（IQY）绕过企业防御系统。也就是时隔半年未见，Paradise勒索病毒又找到了新宿主藏身。
而新版Paradise勒索病毒的特别之处远不止这一点，这就相当有趣了。下面，零日给大家介绍一下这个尚在“测试版”的Paradise勒索病毒变种。

特点1：合法的IQY文件
以合法IQY文件为保护壳，说实话零日看了这招，一方面觉得有点“鬼才”，另一方面也想看看，Paradise究竟是如何利用IQY文件的？
这就要从IQY文件本身说起了，IQY文件是Microsoft Excel读取的简单文本文件，可以从Internet下载数据，是可武器化的Microsoft Office文件格式中不常见的那个。
为什么说是“可武器化的文件”？因为该公式可能会滥用系统进程，例如PowerShell、cmd、mshta或任何其他LoLBins（非现场二进制文件）。大家都知道，这是合法的Excel文件类型，因此许多网络管理设备不会阻止或过滤该文件，于是，Paradise病毒的机会就来了。
简单来说，IQY文件为攻击者提供了一种渗透网络的快捷方式，其利用过程如下：
先通过Necurs僵尸网络分发IQY附件，来传播与Paradise勒索病毒绑定的程序，FlawedAmmyy 远控木马。
然后，接下来要做的是诱使用户打开恶意IQY附件，该附件会从攻击者的C2服务器中检索恶意脚本。

文章插图
包含远程恶意脚本位置的恶意IQY附件

此恶意脚本包含一个用于运行PowerShell命令的命令，该命令将下载并调用可执行文件。

文章插图
【paradise 《c到她乖》黑暗森林】
恶意脚本

成功利用IQY文件躲过防御系统后，Paradise勒索病毒还利用了自动注入技术，直接将原始进程的内存替换为勒索病毒的执行代码。

特点2：特定的语言白名单
如下图所示，在勒索病毒开始后、执行语言检查之前，还包含一次动态代码解析过程，通过手动PEB遍历动态地获取了WinAPI 。

文章插图
PEB遍历/ API解析

然后，我们就会发现Paradise勒索病毒的语言检查功能。这个新变种会检查机器的语言ID是俄语、哈萨克语、白俄罗斯语、乌克兰语，还是塔塔尔语。

文章插图
检查特定语言

正如我们看到的那样，如果目标语言是上述选项之一，则勒索病毒会停止攻击。

文章插图
杀死进程

很好，在这里我们不妨大胆推测，新版Paradise勒索病毒的真实攻击者，就在藏那份语言白名单之中。

特点3：更难检测的加密算法
接下来，就是Paradise勒索病毒的攻击加密过程。和大多数勒索病毒一样，新变种加密函数在遍历文件系统的同时，也会注意避开可能破坏系统运行的文件。

文章插图

在这里要强调的是，该病毒的隐匿特性不止藏在IQY文件中一点，还有它所利用的Salsa20加密算法。使用此算法的好处很明显，攻击者可以将其实现到源代码中，而不是调用系统函数。

文章插图
文件加密步骤

也就是说，使用Salsa20加密算法可让检测加密例程更加困难。

文章插图
可执行文件加密之前/之后

加密后，我们看到，每个加密文件的扩展名变为：“<文件名> _decryptor_ {unique_id} .tor” 。

文章插图
更改加密文件的扩展名

然后，病毒会释放标题为“ — ==％$$ OPEN_ME_UP $$ == — 。txt ”的勒索信息，并在加密例程完成后自动打开。该赎金记录要求受害者访问一个在线聊天页面，以接收有关如何解密文件的说明。