Paradise 랜섬웨어는 중국에서 만들어진 AweRay 회사에서 만든 AweSun 이라는 원격제어 프로그램의 취약점을 악용하여 공격하는 랜섬웨어 입니다.

 

공격에 사용된 AweSun 버전은 몇년 전에 배포된 v1.5, v1.6 버전 입니다.

 

현재는 v2.0 이상의 버전이 AweSun 홈페이지에서 제공 중 입니다.

 

Paradise 랜섬웨어의 유포 경로는 정확 하지는 않지만 스팸 메일에 포함된 첨부 파일을 통해서 유포 되었을 것으로 봅니다.

 

Paradise 랜섬웨어가 포함된 DP_Main.exe 파일이 실행되면 자신의 복사본을 생성하여 시스템 재부팅시 자동 실행 되도록 등록 합니다.

 

그리고, 시스템 복원을 하지 못하게 볼륨 쉐도우 복사본 삭제를 하는 명령을 실행합니다.

 

아래 이름의 폴더는 암호화를 하지 않습니다.

Windows, firefox, chrome, google, opera, “%APPDATA%\DP\”(Paradise 랜섬웨어가 설치된 경로)

 

아래 이름의 폴더는 가장 먼저 파일 암호화를 진행 합니다

backup, firebird, microsoft sql, mssql, mysql

 

암호화 작업이 끝나면 지정된 서버로 암호화된 파일의 숫자, 컴퓨터 이름, 암호화에 소요된 시간, 복호화에 필요한 정보, 식별 ID를 전송 합니다.

 

확장자 변경은 "문서.txt.[ID].[이메일 주소].paradise" 형태로 변경 됩니다.

 

안내 파일은 #DECRYPT MY FILES#.html 파일이 각 폴더 마다 생성되며 암호화 완료 후에 화면에 표시 됩니다.

 

KakaoTalk_20231103_121000485.gif

번호 제목
공지 랜섬웨어 피해예방 5대 수칙
146 랜섬웨어 RansomBlox - Roblox(로블록스) 게임 플레이를 요구 file
» 랜섬웨어 Paradise-AweSun 원격 제어 프로그램의 취약점을 악용 file
144 랜섬웨어 Hakuna matata - ClipBanker 기능을 이용한 전자지갑 주소 바꿔치기 file
143 랜섬웨어 변종 Magniber - 안내파일 이름 변경과 작업스케줄러 등록 file
142 랜섬웨어 CryptJoker - 빠른 파일 암호화 진행 file
141 랜섬웨어 AXLocker - 디스코드 웹훅 기능을 악용 file
140 랜섬웨어 Rhysida - 칠레 육군의 내부 정보를 유출 file
139 랜섬웨어 DarkBit - 이스라엘 공과대학을 공격한 정치적 목적의 랜섬웨어 file
138 랜섬웨어 RA Group - 유출된 Babuk Locker 랜섬웨어 코드로 만들어진 변종 file
137 랜섬웨어 Royal - 윈도우는 물론 리눅스 에서도 동작 file
136 랜섬웨어 변종 Black Basta - ESET Update 파일로 위장 file
135 랜섬웨어 Akira - VPN을 통해 국내 제약 회사를 공격!! file
134 랜섬웨어 DARKY LOCK - 유출된 Babuk Locker 코드로 만들어진 랜섬웨어 file
133 랜섬웨어 Money Message - 암호화중 변경된 파일 확장명을 되돌려 놓는 랜섬웨어 file
132 랜섬웨어 BTC_azadi - 네트워크 드라이브에서도 실행 file
131 Avast사 TargetCompany 랜섬웨어 복구툴 공개!! file
130 랜섬웨어 Trigona - 서버에 접근 가능한 계정을 획득하여 공격 file
129 BianLian 랜섬웨어 복구툴 공개 !! file
128 랜섬웨어 BianLian - Go 개발 언어로 만들어지고 기업을 대상으로 공격 바이러스 백업웨어 file
127 랜섬웨어 ARCrypter - 수정한 날짜 형식을 변경 file