Paradise勒索病毒样本分析

相关阅读：Paradise勒索病毒家族，我是链接请点我
一、        样本信息

• 文件名：Paradise.exe
• MD5：D7672E92302EFEDA77B0A5A9C0601AAA
• SHA1：DAE3D319DA29BF122DE668F962E810D624922289
  

二、        样本分析
1.        提升权限
Paradise对当前所属进程的执行权限进行检查。如果当前进程尚未提升至管理员权限，则以”runas”方式重新启动自身。
重启自身时，系统会弹出用户账户控制（UAC）对话框，等待用户选择，一旦用户点击”是”，病毒将以管理员权限执行；如果用户点击”否”，则病毒以普通权限运行。
病毒在管理员权限下运行将拥有更高的文件访问和读写权限，并可以执行诸多高权限操作。

2.        用户RSA公私钥

运行后，病毒使用C#的RSACryptoServiceProvider为用户产生一对RSA公私钥（XML格式），之后再使用病毒中硬编码的攻击者RSA公钥（1024-bit）对用户RSA私钥（XML格式）进行加密，加密方式是每117字节进行分割加密。如果加密后数据长度等于1024字节（大致估计如果用户RSA私钥长度等于128字节，加密结果即为1024字节），进行文件加密时将使用RSA非对称加密算法，用户RSA公钥即为文件加密密钥；如果不等于1024字节，在文件加密阶段使用的将是DES3对称块加密算法。

然而实际上，在加密完用户RSA私钥后，由于默认字符编码无法对加密结果进行正常转化（非ascii码）的原因，导致比较长度时不会等于1024字节。也就是说用户RSA公私钥与后续流程无关，文件加密使用加密算法始终为DES3。

RSACryptoServiceProvider产生的RSA公私钥XML格式：https://docs.microsoft.com/en-us ... amework-4.8#remarks。

3.        搜索文件进行加密

首先执行指令删除卷影服务，防止加密时原文件被备份。

1. Sc delete VSS
   

复制代码

虽然卷影服务被删除，但是仍可通过属性中的以前版本访问原始未被加密文件。

之后搜索所有磁盘中的可加密文件进行加密。文件方面，对扩展名为.worm（已加密）和.html（勒索信息）的文件不进行加密；目录方面，包含以下字符串的路径跳过搜索，主要为系统目录和浏览器目录。

• windows
• firefox
• ghrome
• google
• opera
  

根据分析，搜寻目标只有本地系统文件，搜索网络资源的函数一直未被调用。

4.        文件加密方式

加密文件时采用的时DES3对称加密算法，对称密钥为24字节的随机值，初始向量IV为8字节随机值，加密模式为CBC（密文分组链接模式）。

产生的DES3密钥和初始向量IV全局使用。

在采用DES3加密的情况下，Paradise将下面的常量base64字符串写入新创建文件%AppData%\\ZIuQCYszDkltEzqyv.html中，作为加密方式标识。

dLWvmdJdWlHWAgiGZZNvPLtlfTaoqaZyLQzwNNyQXupcLhYRfsXtZiwpgtKBODaMbOyQdCVceekEHynOXlTtdZhQeQAMiQeOpYYAIoFVPNQqkYWRMxtJgImSAcepkjlVNpLznNwtChAMHYKFMjRHJDQtifMxeedRVDkoelFrUXQjKamWznDWqIaZXnwQ

Paradise在产生DES3密钥后，使用攻击者RSA公钥分别将DES3密钥和初始向量IV进行加密，并对其Base64编码。加密后的DES3密钥值使用标签<BESfGnAPr>、</BESfGnAPr>标记；初始向量IV使用<itxnJcaecMfHQESmkijnGeNycvf>、</itxnJcaecMfHQESmkijnGeNycvf>标记。

接着在以下路径创建文件oGFqybz.html，将加密后内容放入其中。

• C:\\Users\\USERNAME\\Documents
• C:\\Program Files
• C:\Users\USERNAME_\AppData\Roaming
• 各个磁盘根目录下（DriveRoot）
  

DES3方式加密流程和加密后文件结构如下：

大于64kb文件加密后尾部示例：

所有可加密文件被加密完成后，创建文件%AppData%\\UZUlpzQCXehe.html，写入一条Base64常量字符串，内容与%AppData%\\ZIuQCYszDkltEzqyv.html中相同。以示系统文件已完成全盘加密。

5.        自我清理

在病毒执行路径下生成bat文件zmAnZHAetpFGB.bat，内容如下。

1. <div style="text-align: left;">timeout 1
   
2. </div><div style="text-align: left;">DIR > Paradise.exe
   
3. </div><div style="text-align: left;">del Paradise.exe
   
4. </div>

复制代码

执行结果删除勒索病毒程序。timeout命令为延时命令，期间Paradise退出，之后del可成功执行，完成清理任务。

6.        勒索信息

搜索可加密文件过程中，在每个可搜索加密的目录下生成勒索信息文件$%~-#_ABOUT_YOUR_FILES_#$=$$.html。在文件加密完全结束之后，作为html网页弹出，以提醒用户。

勒索信息文件中包含PCID、文件加密密钥、黑客联系邮箱等信息。其中加密密钥（位于”Your personal KEY”文本框）内容与oGFqybz.html相同，在Paradise以管理员权限运行的情况下文本框正常显示，如下图；如果是以普通权限运行，该内容将无法正常显示，仅显示为”%KEY%”。