Paradise 랜섬웨어는 중국에서 만들어진 AweRay 회사에서 만든 AweSun 이라는 원격제어 프로그램의 취약점을 악용하여 공격하는 랜섬웨어 입니다.
공격에 사용된 AweSun 버전은 몇년 전에 배포된 v1.5, v1.6 버전 입니다.
현재는 v2.0 이상의 버전이 AweSun 홈페이지에서 제공 중 입니다.
Paradise 랜섬웨어의 유포 경로는 정확 하지는 않지만 스팸 메일에 포함된 첨부 파일을 통해서 유포 되었을 것으로 봅니다.
Paradise 랜섬웨어가 포함된 DP_Main.exe 파일이 실행되면 자신의 복사본을 생성하여 시스템 재부팅시 자동 실행 되도록 등록 합니다.
그리고, 시스템 복원을 하지 못하게 볼륨 쉐도우 복사본 삭제를 하는 명령을 실행합니다.
아래 이름의 폴더는 암호화를 하지 않습니다.
Windows, firefox, chrome, google, opera, “%APPDATA%\DP\”(Paradise 랜섬웨어가 설치된 경로)
아래 이름의 폴더는 가장 먼저 파일 암호화를 진행 합니다
backup, firebird, microsoft sql, mssql, mysql
암호화 작업이 끝나면 지정된 서버로 암호화된 파일의 숫자, 컴퓨터 이름, 암호화에 소요된 시간, 복호화에 필요한 정보, 식별 ID를 전송 합니다.
확장자 변경은 "문서.txt.[ID].[이메일 주소].paradise" 형태로 변경 됩니다.
안내 파일은 #DECRYPT MY FILES#.html 파일이 각 폴더 마다 생성되며 암호화 완료 후에 화면에 표시 됩니다.