Исследователь в области кибербезопасности Том Малка (Tom Malka) из компании Security Joes скомпилировал пакет и обнаружил, что он создает три исполняемых файла: билдер, шифровальщик и дешифратор. По всему исходному коду разбросаны комментарии на русском языке.
Киберпреступник, использующий исходный код программы-вымогателя Paradise, может применить конструктор для настройки собственной версии вредоноса и внедрить в нее настраиваемый C&C-сервер, зашифрованное расширение файла и контактный адрес электронной почты.
После создания настраиваемой программы-вымогателя группировки могут распространять вредоносное ПО в своих вредоносных кампаниях среди потенциальных жертв.
Активность Paradise впервые была зафиксирована в сентябре 2017 года. Операторы распространяли вымогатель с помощью фишинговых писем, содержащих вредоносные вложения IQY. Со временем было выпущено несколько версий вымогателя, причем первые версии содержали уязвимости, позволившие создать дешифратор Paradise. Однако в новых версиях метод шифрования был изменен на RSA, что препятствовало бесплатному расшифровке файлов.