文章插图
勒索信息

看到这里，我们基本上弄清楚了Paradise勒索病毒新变种是怎么回事了 。

特点4：特殊的时间格式
按照勒索信息指示，研究人员尝试和勒索者沟通，聊天登录页面如下 。


文章插图
勒索病毒聊天登录页面

然后我们看到的是，一条自动消息以及聊天室的相关规则 。


文章插图
勒索病毒聊天页面

尽管攻击者尚未在聊天中有所回复，但是有一个细节值得大家注意，那就是聊天页面的时间日期格式与许多欧洲国家/地区中使用的格式匹配 。


文章插图

我们重新审视该恶意病毒的静态特征，其编译时间戳为“2019-12-08 18:42:38（UTC）”，在欧洲大约在晚上7:42左右落入 。再结合上文的语言白名单来看，新变种的“出生地”不是俄罗斯，就是乌克兰 。

狡猾的“创新者”
新版病毒“强”在哪里？看完上面串起整个攻击过程的四个特性就知道了，那肯定是隐匿性和针对性更强 。奇怪的是，研究人员只发现了该变种针对亚洲某一组织的攻击活动，不过，如果把这次攻击当做是一次新版本测试那就很好解释了 。


文章插图
受攻击组织提供IQY的SMTP流量

Paradise勒索病毒绝对称得上是“老熟人”了，偏偏它还十分狡猾，总是在“攻击-解密-新变种-再解密”的循环中不断自我创新 。
2018年7月，Paradise勒索病毒开始大规模入侵我国，加密除系统以及部分浏览器文件夹内部文件以外的所有文件，加密后生成“超长后缀+勒索声明+定制用户ID”三连套餐 。
2019年3月，Paradise勒索病毒再度袭来，改头换面以UPX加壳、借用了CrySiS家族的勒索信息，代码结构也区别于早期版本 。
2019年8月，最新Paradise变种病毒再次被截获，将自身主体代码在内存中解密后执行，靠Flash漏洞传播，专攻FlashPlayer版本较低的用户 。
2019年10月，Paradise勒索家族KimChinIm、Support两大病毒变种接连涌现，与以往已知的Paradise病毒仍有较大差异，这里就不一一细说了 。
看看，这就是Paradise勒索病毒的狡猾之处：每一次变种都搭载不同的技术或算法，与此前存在巨大差异 。
千言万语还是一句话，零日认为应警惕新一轮的Paradise勒索攻击，并建议企业：

1. 赶紧对重要数据文件进行非本地备份，时刻注意；
2. 千万要及时修复漏洞、打补丁，升级登录口令并避免使用同一口令；
3. 警惕不明来源的邮件及网站，不要乱下载不明来源的附件文件；
4. 一定要减少/关闭不必要的文件共享权限 。

零日反思
勒索病毒的逃避技术远超我们想象，它们想尽办法利用新方式或技术超越基本防御措施，而大家对它们的了解却并不广泛 。今天，我们了解了一种Paradise勒索病毒新变种，但这只是其庞大家族的冰山一角，勒索病毒更新迭代千变万化，却仍是网络安全的重要杀手 。

• 莎士比亚四大悲剧和四大喜剧 莎士比亚四大悲剧 《激流三部曲》
• 玄幻小说排行榜2022前十名完结 玄幻小说排行榜 10本神作级的玄幻小说
• 哈利波特演员表配图片 哈利波特演员表 哈利波特女角色表
• 我脑中的橡皮擦豆瓣 我脑中的橡皮擦 《我脑中的橡皮擦》
• 粤语歌曲经典老歌歌单 粤语歌曲经典老歌 叶倩文《潇洒走一回》
• 退役军人保障法 退役军人保障法细则
• 融梗是什么意思
• 陈奕迅《是但求其爱》歌词全文
• 汉武托孤
• 书读五车