Опубликованная на хакерском форуме XSS ссылка на исходный код доступна только активным пользователям сайта. Исследователь Security Joes Том Малка, который поделился исходным кодом, скомпилировал пакет и обнаружил, что он создает три исполняемых файла - конфигуратор вымогателя, шифровальщик и дешифратор. По всему исходному коду имеются комментарии на русском языке, которые ясно демонстрируют родной язык разработчика.

Аффилированный с программой-вымогателем Paradise может использовать конструктор для настройки своей собственной версии программы-вымогателя, включив в нее настраиваемый сервер управления и контроля, зашифрованное расширение файла и контактный адрес электронной почты. После создания настраиваемой программы-вымогателя партнерские организации могут распространять вредоносное ПО в своих кампаниях для целевых жертв.

Paradise Ransomware впервые был запущен в сентябре 2017 года с помощью фишинговых писем, содержащих вредоносные вложения IQY, которые загружали и устанавливали программу-вымогатель. Со временем было выпущено несколько версий вымогателя, причем начальные версии содержали недостатки, которые привели к выпуску дешифратора Paradise Ransomware. Однако в новых версиях метод шифрования был переведен на RSA, что препятствовало бесплатному дешифрованию файлов.

Майкл Гиллеспи, создавший оригинальный дешифратор Paradise Ransomware сказал, что выпущенные версии Paradise включают:

• Paradise - Нативная версия, в которой были недостатки, позволяющие дешифровать.
• Paradise .NET - безопасная версия .NET, которая переключила алгоритмы шифрования на использование шифрования RSA.
• Paradise B29 - «Командный» вариант, который шифрует только конец файла.

Гиллеспи сказал, что пока неясно, были ли все они разработаны одной и той же группой, поскольку все они циркулировали примерно в одно и то же время с тысячами различных расширений.

Судя по статистике представлений в ID Ransomware, Paradise Ransomware широко распространялся в период с сентября 2017 года по январь 2020 года.

К сожалению, Гиллеспи сообщает, что выложенный исходный код предназначен для безопасной версии Paradise Ransomware, которая использует шифрование RSA. Используя этот исходный код, другие злоумышленники могут легко модифицировать его, чтобы выпустить собственную настроенную версию программы-вымогателя, что позволит легко начать новую кампанию этого вымогателя.