Avast ha rilasciato un decryptor per il ransomware BianLian, disponibile per il download pubblico.
BianLian è emersa nell’agosto 2022, effettuando attacchi mirati in vari settori, principalmente media, produzione e assistenza sanitaria.
Il ransomware si distingue per il fatto che crittografa i file ad elevata velocità.
Funzionalità di BianLian emerse dalle analisi
BianLian è scritto in Go e compilato come eseguibile Windows a 64 bit.
Nel binario del ransomware, si possono vedere molte righe, comprese le informazioni sulla struttura della directory sul computer dell’autore.
I dati vengono crittografati utilizzando AES-256 in modalità CBC. La lunghezza dei dati crittografati è fino a 16 byte, come richiesto dalla cifratura AES CBC.
Al momento dell’esecuzione, BianLian ricerca tutte le unità disponibili (dalla A: alla Z:), sulle quali cerca e crittografa tutti i file la cui estensione corrisponde a una delle 1013 estensioni codificate nel file binario del programma.
Allo stesso tempo, il ransomware non crittografa il file né dall’inizio né fino alla fine. Invece, c’è un offset di file fisso codificato nel binario da cui ha origine la crittografia.
L’offset varia a seconda della selezione, ma nessuna delle selezioni note crittografa i dati dall’inizio alla fine del file.
Dopo che i dati sono stati crittografati, il ransomware aggiunge l’estensione bianlian e la nota di riscatto “Look at this instruction.txt” in ogni cartella del PC.
Il nuovo decryptor
Il decryptor può recuperare solo i file crittografati con la nota variante BianLian.
Le nuove vittime invece potrebbero aver bisogno di trovare il file binario del ransomware sul proprio disco rigido. Tuttavia, questo sarà problematico poiché il ransomware si elimina da solo dopo la crittografia.
Secondo la telemetria Avast, i nomi di file comuni per il ransomware BianLian sul computer della vittima includono:
- C:\Windows\TEMP\mativ.exe
- C:\Windows\Temp\Areg.exe
- C:\Users\%username%\Pictures\ windows .exe
- anabolico.exe
Quando si cerca un file binario, è sempre una buona idea cercare un file EXE in una cartella che di solito non contiene file eseguibili, come %temp%, Documenti o Immagini.
Si consiglia anche si controllare i file catturati dall’antivirus. La dimensione tipica di un eseguibile BianLian è di circa 2 MB.
Secondo Avast, la scoperta di nuovi campioni consentirà loro di aggiornare il decryptor di conseguenza.
Le istruzioni per la decrittografia sono disponibili qui.