近日，360数字安全大脑监测到Paradise勒索病毒再度活跃，主要针对政企机构服务器进行攻击，对服务器日常运维具有重大影响，目前已有数十家机构中招，且攻击仍在持续，众多政企机构急需注意防范。

(相关资料图)

关于此次勒索攻击

向日葵远程控制软件是一款优秀的远程控制类软件，在广大计算机用户、尤其是管理和操作远程IT设备有刚性需求的远程办公或运维人员群体中广受好评，在国内也拥有众多用户。但是老旧版本的向日葵软件存在诸多漏洞，如若未及时更新便存在安全风险，黑客正是看中这一点而下手。近日，360数字安全大脑监测到，有黑客团伙正在利用老版本向日葵远程控制软件的漏洞CNVD-2022-10270发起攻击，向对应设备中投放Paradise勒索软件。此次攻击最早发生于2023年1月30日，截止到报告撰写时攻击仍在持续。根据360数字安全大脑的监测数据，攻击者对网络中暴露的向日葵远程控制软件进行大范围扫描，并对存在漏洞的向日葵远程控制软件发起攻击，目前已经有数十个目标被攻破并投递勒索软件。受害用户的向日葵远程软件日志显示，攻击的来源IP为45.77.29[.]56，该地址利用漏洞向受害用户设备发起攻击并尝试执行多种恶意命令，这些恶意命令会下载执行Paradise勒索软件并将其写入系统启动项。此外，攻击者还会向机器投递“永恒之蓝”漏洞利用工具，尝试使用该工具在设备所处的局域网内横向移动，同时还会下发工具试图结束安全软件进程。

（黑客下发工具尝试结束安全软件进程）

此次攻击所使用的勒索软件和黑客工具均部署在域名upload.paradisenewgenshinimpact[.]top下。

（受害用户向日葵远程控制软件日志）

（攻击发生时进程树）

此次被攻击者投放的Paradise勒索软件会将文件加密后，修改文件后缀为“[id-xxxxxxxx].[main@paradisenewgenshinimpact.top].honkai”（xxxxxxxx代指一个八位随机字符串），并展示勒索提示信息要求受害用户联系黑客支付赎金。

（勒索提示信息）

但令人意外的是，经分析发现此次传播的勒索软件样本面对部分后缀的文件并不会对其内容进行加密，而仅仅是对文件进行重命名操作。

关于Paradise勒索病毒

Paradise勒索软件又被称作“天堂”勒索软件，最早出现于2017年9月。自2018年1月开始，该家族采用了RaaS(勒索软件及服务)的模式运营。2019年，其曾被360解密大师破解，虽然在进行了版本更新后继续传播了一段时间，但很快便不再有该家族在国内的活跃迹象。直到在2021年6月，该家族的源代码被公开发布到了暗网论坛(相较于之前流行的版本，被公开的源码已进行了版本更新)，因此本次攻击事件可能已经不是最初制作该勒索软件的原班人马。早期Paradise的传播渠道主要有三个：其一，通过暴力破解远程桌面口令成功后手动投毒；其二，通过钓鱼邮件进行传播；其三，利用Flash漏洞(CVE-2018-4878)进行传播。

安全建议

针对本轮攻击事件的特殊性，建议用户通过官网将向日葵远程控制软件更新至最新版本以修复该漏洞：https://sunlogin.oray.com/download同时，强烈建议广大用户关注并及时更新系统内的各个软件，避免软件中所带有的漏洞被不法分子利用来入侵或破坏系统，给系统和数据带来不必要的损失。

安全解决方案

针对勒索软件入侵，建议广大政企用户建立全面的数字安全防御体系，正确安装安全防护软件，并对重要文档及各类数据进行定期的异地备份，以免重要数据遭受不可逆的重大损失。作为数字安全的领导者，360数字安全集团多年来一直致力于勒索病毒的防范。360基于以“看见”为核心的安全运营服务体系，打造了一整套防勒索解决方案，从“云、管、端、地、险”五个维度出发，利用360本地安全大脑、360 EDR、360NDR等多款安全产品及服务，完整覆盖事前、事中、事后三个关键阶段，帮助用户感知风险、看见威胁、抵御攻击，实现多方位、全流程、体系化的勒索防护。未来，360将持续深耕安全防护，助力广大政企机构构建起应对勒索病毒的体系化安全能力。

360防勒索解决方案针对不同客户体量与需求推出多元产品及服务套餐，已累计为超万例勒索病毒救援求助提供帮助，如需进一步咨询相关服务请联系360安全服务团队。

联系方式：400-0309-360

邮箱：anfu-b@360.cn

未来，360将继续完善防勒索解决方案，赋能更多用户感知风险、看见威胁、抵御攻击，筑牢数字安全屏障，护航数字经济发展。

IOChxxps://upload.paradisenewgenshinimpact[.]top/DP_Main.exe

hxxps://upload.paradisenewgenshinimpact[.]top/1.ps1

hxxps://upload.paradisenewgenshinimpact[.]top/2.ps1

hxxps://upload.paradisenewgenshinimpact[.]top/MS17010Csharp.exe

45.77.29[.]56

https://mp.weixin.qq.com/s/qHCXQudm2XsmkVGcpdPsmQ