1. 前言

  Paradise勒索软件首次出现在2017年9月，最初通过恶意的IQY附件传播，这些附件通常包含在网络钓鱼邮件中。Paradise是一个勒索即服务（RaaS）平台，允许其他攻击者使用其基础设施来发起攻击。随着时间的推移，该勒索软件不断演变，出现了多个变种，包括使用.NET框架的版本和其他定制版本。Paradise的源代码在2021年泄露到黑客论坛上，使得任何有兴趣的网络犯罪分子都可以开发自己的勒索软件版本。

2. 特征

  感染Paradise勒索软件后，受害者的文件会被加密，并附加“.paradise”、“.2ksys19”、“.p3rf0rm4”或“.FC”等扩展名。加密完成后，勒索软件会生成一个赎金说明文件，通常包含支付赎金的指示以及用于联系攻击者的电子邮件地址。Paradise勒索软件还会删除系统中的备份和卷影副本，以防止受害者通过传统的数据恢复方法找回文件。

  在某些早期版本中，由于加密方法存在漏洞，安全公司开发了免费的解密工具。然而，新版本采用了更强大的RSA加密，使得免费解密工具不再有效。

3. 工具使用说明

   重要提示： 确保首先从系统中删除恶意软件。否则，它将反复锁定您的系统或加密文件。任何可靠的防病毒解决方案都可以为您做到这一点。如果您的系统通过 Windows 远程桌面功能遭到入侵，我们还建议更改允许远程登录的所有用户的所有密码，并检查本地用户帐户中是否有攻击者可能已添加的其他帐户。

  文件解密步骤：

  1. 从提供此“操作方法”文档的同一站点下载解密器。

  2. 以管理员身份运行解密器。显示许可条款后，单击“是”按钮同意。

  3. 接受条款后，使用“浏览”按钮选择您的文件对。然后，单击“开始”按钮。

  4. 恢复过程完成后，解密器将显示重建的加密详细信息。该显示仅供参考，以确认已找到所需的加密详细信息：

  5. 找到密钥后，单击“确定”以打开主解密器用户界面：

  6. 默认情况下，解密器将在解密的位置预填充当前连接的驱动器和网络驱动器。可以使用“添加”按钮添加其他位置。此外，对象列表接受通过拖放添加的文件和位置。

  7. 解密器通常根据特定的恶意软件系列提供各种选项。可用选项位于“选项”选项卡中，可以在那里启用或禁用。您可以在下面找到可用选项的详细列表。

  8. 将要解密的所有位置添加到列表中后，单击“解密”按钮开始解密过程。屏幕将切换到状态视图，通知您文件的当前进程和解密状态：

  9. 解密过程完成后，解密器将通知您。如果您需要报告作为个人记录，可以点击“保存日志”按钮进行保存。如果需要，您也可以将其直接复制到剪贴板，以粘贴到电子邮件或论坛帖子中。

  可用的解密器选项：

  - 保留加密文件：由于勒索软件不会保存有关未加密文件的信息，解密器无法保证解密的数据与之前加密的数据相同。因此，默认情况下，解密器将保留加密文件。如果您希望在解密后删除加密文件，则可以禁用此选项。如果磁盘空间有限，则可能需要考虑这一点。