“人间天堂”乃至抬起恶魔之手？人间天堂保释金病毒感染再度席卷而来 一，试品详细介绍 近期，说动安全性精英团队接到顾客意见反馈，服务器被数据加密和敲诈勒索，历经追踪剖析，获得相对的样版，确定样版是Paradise勒索软件的变种版本号，并对勒索软件样版开展了详细分析。人间天堂（Paradise）勒索软件初次出現于2018年年7月，感柒了好几家企业。此变体使用了CrySiS系列产品的勒索软件信息内容，编码构造与初期版本号彻底不一样。 敲诈勒索信息内容弹出对话框：

　　敲诈勒索信息内容文档：

　　加密文件名： [初始文件夹名称] _ [任意字符串] _ {immortalsupport@cock.li}.p3rf0rm4

　　二，深入分析 1. 勒索软件孕妇样版，应用UPX装包，

　　2.获得涵数CreateToolhelp32Snapshot，Module32FirstW的详细地址，

　　3.破译运行内存中的有关统计数据并将运行内存特性改动为可读和可实行，

　　11.再度在运行内存中编解码统计数据并获得相对的

　　4.自动跳转以实行破译的编码，给出如图：

　　6.检索GetProcAddress涵数的部位

　　11.根据GetProcAddress涵数获得LoadLibraryA涵数详细地址

　　8.根据上边得到的LoadLibraryA和GetProcAddress涵数获得一连串涵数的详细地址，

　　有关作用给出： VirtualAlloc，VirtualProtect，VirtualFree，GetVersionExA，TerminateProcess，ExitProcess，SetErrorMode 10获得电脑操作系统版本信息，给出如图：

　　11.根据VirtualAlloc分派相对的运行内存，随后在运行内存中破译关键Payload的pE文档，

　　4.稍候根据VirtualProtect改动0x00400000内存地址特性，并将破译后的Payload编码拷贝到详细地址0x00400000，

　　12.在0x00400000运行内存段中的Payload内容编码处自动跳转实行到0x00402657，

　　13.根据GetUserDefaultLangID获得电脑操作系统語言Id，

　　假如电脑操作系统語言是: 乌克兰乌克兰，LANG_KAZAK哈萨克斯坦，LANG_BELARUSIAN白俄罗斯，LANG_TATAR乌克兰 随后实行ping 127.0.0.1指令并删掉本身，给出如图：

　　14.应用程序流程資源Id 1载入資源统计数据，

　　它包括相对的RSA密匙和诈骗信息内容等信息内容，

　　15.关掉Windows Defender防护软件，给出如图：

　　5.将本身拷贝到适度的文件目录以保持耐受性，

　　17.还转化成相对的勒索软件HTA文档

　　18.将文档自身和勒索软件信息内容拷贝到起动文件目录。文件夹名称是任意字符串

　　拷贝后，转化成相对的文档，给出如图：

　　19.根据ShellExecuteW运作runas起动程序流程

　　20.删掉硬盘黑影实际操作

　　21.遍历步骤并完毕相对步骤