“天堂”恶魔再现，亚信安全预警“天堂”勒索病毒

近日，亚信安全截获最新Paradise（天堂）勒索病毒，该病毒加密本机及共享文件夹中的文件。加密后的文件名变为[原文件名]_[随机字符串]_{immortalsupport@cock.li}.p3rf0rm4，亚信安全将其命名为Ransom.Win32.PARADISE.A。

“天堂”勒索病毒技术细节分析

勒索母体文件，使用UPX加壳：

运行自身拷贝文件，文件名为随机字符串：

避免加密如下文件夹中的文件：

Windows、$Recycle.bin、System Volume Information

Program Files、ProgramFiles (x86)

每个加密的目录下，生成Instructions with your files.txt的勒索信息文件：

加密后的文件名变为[原文件名]_[随机字符串]_{immortalsupport@cock.li}.p3rf0rm4;

加密后提示勒索信息：

亚信安全教你如何防范

• 尽量关闭不必要的端口，如：445、135，139等，对3389，5900等端口可进行白名单配置，只允许白名单内的IP连接登陆；
• 尽量关闭不必要的文件共享；
• 及时更新系统，更新应用程序；打全系统及应用程序补丁程序；
• 采用高强度的密码，避免使用弱口令密码，并定期更换密码；
• 不要点击来源不明的邮件以及附件；
• 如果需要发送带有附件的邮件，建议将附件加密压缩后再发送；
• 请注意备份重要文档。备份的最佳做法是采取3-2-1规则，即至少做三个副本，用两种不同格式保存，并将副本放在异地存储。

亚信安全产品解决方案

• 亚信安全病毒码版本14.905.60 ，云病毒码版本14.905.71，全球码版本14.907.00已经可以检测，请用户及时升级病毒码版本。
• 建议产品版本为OSCE 11+sp1及以上版本，开启行为监测功能，防御勒索病毒攻击。

在目前的网络威胁领域中，勒索软件仍然扮演着十分重要的角色。勒索病毒通过不断的创新试图避开杀毒软件检测。这就要求我们的产品不断更新，与勒索病毒持续抗衡。亚信安全防毒墙网络版(OfficeScan)开启针对勒索软件的行为阻止策略，可以有效拦截勒索病毒对系统中的文件进行加密。

##

关于亚信安全

亚信安全是中国网络安全行业领跑者，以安全数字世界为愿景，旨在护航产业互联网。亚信安全是云安全、身份安全、终端安全、态势感知、高级威胁治理、威胁情报技术领导者，同时是5G、云计算、物联网、大数据、工控、移动六大安全场景引领者。在国内拥有3个独立研发中心，2,000人安全专业团队。欲了解更多，请访问: http://www.asiainfo-sec.com

更多媒体垂询，敬请联络：

亚信安全	谋信传媒
刘婷婷	雷远方
电话：010- 58256889	电话：010-67588241
电子邮件: liutt5@aisainfo-sec.com	电子邮件：leiyuanfang@ctocio.com