又一款主流勒索软件 Paradise 的源代码遭泄露

该勒索软件代码分享在俄语论坛 XSS 上，是继2020年初 Dharma 代码被泄露后，源代码遭泄露的第二个主流勒索软件。被泄露文件的真实性已得到恶意软件分析师 Bart Blaze 和 MalwareHunterTeam 的验证和证实，他们此前曾分析过多款 Paradise 勒索活动。

勒索软件 Paradise 首先现身于2017年9月，它被通过经典的勒索软件即服务出租给网络犯罪团伙。

威胁行动者将申请 Paradise RaaS，之后收到特定的 app 即构建工具，以构建自定义的 Paradise 勒索软件版本，之后通过垃圾邮件和其它方式传播给受害者。

虽然近年来我们已经习惯于勒索软件团伙攻击高价值企业、追逐大额支付，但 Paradise 勒索软件主要还是攻击家庭客户和规模更小的企业。Paradise RaaS 追逐小笔勒索付款，被视作犯罪团伙实施勒索的入口点，他们将以此攻击终端消费者和小型企业，之后转向更专业的 RaaS 服务攻击大型企业。

Paradise RaaS 已运行多年，不断发布新版本，包括仅用于2019年和2020年的 .NET 版本。2019年，它首次实施主要攻击，当时安全企业 Emsisoft 发布免费的解密工具，使受害者无需支付赎金久可解密文件。Paradise 操纵者后续虽然发布了新版本，但安全公司 Bitdefender 在2020年1月即其发布几个月后公布了解密工具。至此之后，研究人员发现每周的Paradise RaaS 活动数量在减少。

2020年3月，Paradise 通过新型垃圾邮件活动使用 IQY 文件传播，但自此之后 Paradise payload 就很少见，最后一次的公开样本现身于今年1月份。

网络安全公司 SonicWall 还报道称发现新型勒索软件版本 Cukiesi，据称是 Paradise 老旧版本的更新版，但该变体并未存活太久。当前，每周仍然有少量受害者遭攻击。MalwareHunterTeam 指出，ID-Randomware 服务在过去一个月中仅仅提交了两次，这表明该项目已被抛弃或者更多地在使用原生版本——和 .NET 版本相比，原生编码的勒索软件在加密文件时速度更快。

上周末遭泄露的 Paradise 代码是其 .NET 版本的源代码，更确切地说是 builder 和解密工具的源代码遭泄露。

Paradise 勒索软件的 builder 遭泄露值得注意，尽管它只是使用较少的 .NET 版本。

Blaze 指出，通过 ID-Ransomware 服务上传和验证的Paradise 勒索软件样本被归于不可解密类别。由于源代码被泄露且无法解密，因此无法排除某些威胁行动者会借机利用，即使它不如 Paradise RaaS 原生版本那样好用。