El equipo de Avast desarrolló un descifrador para el ransomware BianLian y lo lanzó para su descarga pública. El ransomware BianLian surgió en agosto de 2022, realizando ataques dirigidos en varias industrias, como los sectores de medios y entretenimiento, manufactura y atención médica , y elevó la barra de amenazas al cifrar archivos a altas velocidades.
Pase a cómo usar el descifrador de ransomware BianLian .
Análisis estático del ransomware BianLian
BianLian es una variedad de ransomware escrita en lenguaje Go y compilada como un ejecutable de Windows de 64 bits. Debido a la naturaleza del lenguaje Go hay muchas cadenas directamente visibles en el binario, incluidos detalles sobre la estructura de directorios de la PC del autor:
Hay referencias a bibliotecas de criptografía asimétrica en la muestra (RSA y curvas elípticas), pero el ransomware no hace nada de eso. Los datos del archivo se cifran con AES-256 en modo CBC. La longitud de los datos cifrados se alinea a 16 bytes, según lo requiere el cifrado AES CBC.
Comportamiento del ransomware BianLian
Tras su ejecución, BianLian busca en todas las unidades de disco disponibles (de la A: a la Z:). Para todas las unidades encontradas busca todos los archivos y cifra todos cuya extensión de archivo coincide con una de las 1013 extensiones codificadas en el binario del ransomware.
Curiosamente el ransomware no cifra el archivo desde el principio ni lo cifra hasta el final. En cambio, hay un desplazamiento de archivo fijo codificado en el binario del que procede el cifrado. El desplazamiento difiere según la muestra, pero ninguna de las muestras conocidas cifra los datos desde el inicio del archivo.
Después del cifrado de datos, el ransomware agrega la .bianlianextensión y suelta una nota de rescate llamada Look at this instruction.txten cada carpeta de la PC (consulte la Figura 1).
Cuando se completa el cifrado, el ransomware se elimina ejecutando el siguiente comando:
cmd /c del <sample_exe_name>
Parámetros del descifrador
El descifrador solo puede restaurar archivos cifrados por una variante conocida del ransomware BianLian. Para las nuevas víctimas, puede ser necesario encontrar el binario de ransomware en el disco duro; sin embargo, debido a que el ransomware se elimina solo después del cifrado puede ser difícil hacerlo. Según la telemetría de Avast, los nombres comunes del archivo de ransomware BianLian en la PC de la víctima incluyen:
C:\Windows\TEMP\mativ.exeC:\Windows\Temp\Areg.exeC:\Users\%username%\Pictures\windows.exeanabolic.exe
Al buscar el binario de ransomware, recomendamos buscar un archivo EXE en una carpeta que normalmente no contiene ejecutables, como %temp%, Documentso Pictures. También es recomendable revisar la bóveda de virus de tu antivirus. El tamaño típico del ejecutable del ransomware BianLian es de alrededor de 2 MB.
Si encuentra una muestra del ransomware BianLian, puede informarnos en decryptors@avast.com . Estamos buscando activamente nuevas muestras y actualizamos el descifrador en consecuencia.
Cómo utilizar la herramienta de descifrado de Avast para descifrar archivos cifrados por el ransomware
Siga estos pasos para descifrar sus archivos:
1) Descarga el descifrador gratuito
2) Ejecute el archivo ejecutable. Comienza como un asistente que lo guía a través de la configuración del proceso de descifrado.
3) En la página inicial, tenemos un enlace a la información de la licencia. Haga clic en el Nextbotón, cuando esté listo para comenzar.
4) En la página siguiente, seleccione la lista de ubicaciones que desea buscar y descifrar. De forma predeterminada, contiene una lista de todas las unidades locales:
5) En la tercera página, debe proporcionar un archivo en su forma original y encriptado por el ransomware BianLian. Introduzca ambos nombres de los archivos. También puede arrastrar y soltar un archivo desde el Explorador de Windows a la página del asistente.
6) Si tiene una contraseña de cifrado creada por una ejecución anterior del descifrador, puede seleccionar “I know the password for decrypting files” como opción:
7) La página siguiente es donde se lleva a cabo el proceso de descifrado de contraseñas. Haga clic en “Start” cuando esté listo para iniciar el proceso. El proceso de descifrado de contraseñas prueba todas las contraseñas conocidas de BianLian para determinar la correcta.
8) Una vez que se encuentra la contraseña puede proceder a descifrar todos los archivos cifrados en su PC haciendo clic en “Next"
9) En la página final, puede optar por hacer una copia de seguridad de sus archivos cifrados. Estas copias de seguridad pueden ayudar si algo sale mal durante el proceso de descifrado. Esta opción está activada de forma predeterminada lo que recomendamos. Después de hacer clic en “Decrypt" comienza el proceso de descifrado. Deje que el descifrador funcione y espere hasta que termine de descifrar todos sus archivos.
Si tiene preguntas o comentarios sobre Avast decryptor envíe un correo electrónico a decryptors@avast.com .
IoC:
| SHA256 |
1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43 |
3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f |
46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b |
3be5aab4031263529fe019d4db19c0c6d3eb448e0250e0cb5a7ab2324eb2224d |
a201e2d6851386b10e20fbd6464e861dea75a802451954ebe66502c2301ea0ed |
ae61d655793f94da0c082ce2a60f024373adf55380f78173956c5174edb43d49 |
eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2 |
Es un conocido experto en seguridad móvil y análisis de malware. Estudió Ciencias de la Computación en la NYU y comenzó a trabajar como analista de seguridad cibernética en 2003. Trabaja activamente como experto en antimalware. También trabajó para empresas de seguridad como Kaspersky Lab. Su trabajo diario incluye investigar sobre nuevos incidentes de malware y ciberseguridad. También tiene un profundo nivel de conocimiento en seguridad móvil y vulnerabilidades móviles.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
