 |
La empresa de software de seguridad Avast ha lanzado un desencriptador gratuito para la cepa de ransomware BianLian con el fin de ayudar a las víctimas del malware a recuperar los archivos bloqueados sin tener que pagar a los hackers. La disponibilidad de un descifrador se produce solo medio año después del aumento de la actividad del ransomware BianLian durante el verano de 2022, cuando el grupo atacó varias organizaciones de alto perfil. |
La herramienta de descifrado de Avast sólo puede ayudar a las víctimas atacadas por una variante conocida del ransomware BianLian.
Si los hackers están utilizando una nueva versión del malware que los investigadores aún no han detectado, la herramienta no es de ayuda por el momento.
Sin embargo, Avast afirma que el descifrador BianLian es un trabajo en curso, y que la capacidad de desbloquear más cepas se añadirá en breve.
El ransomware BianLian
BianLian (no confundir con el troyano bancario para Android del mismo nombre) es una variedad de ransomware basada en Go y dirigida a sistemas Windows.
Utiliza el algoritmo simétrico AES-256 con el modo de cifrado CBC para cifrar más de 1013 extensiones de archivos en todas las unidades accesibles.
El malware realiza cifrados intermitentes en los archivos de la víctima, una táctica que ayuda a acelerar los ataques a expensas de la fuerza de bloqueo de los datos.
Los archivos cifrados reciben la extensión ".bianlian", mientras que la nota de rescate generada advierte a las víctimas de que tienen diez días para satisfacer las demandas del hacker o sus datos privados se publicarán en el sitio de filtración de datos de la banda.
Para más detalles sobre el funcionamiento del ransomware BianLian, consulte este informe de SecurityScoreCard sobre la cepa publicado en diciembre de 2022.
Desencriptador de Avast
El desencriptador del ransomware BianLian está disponible de forma gratuita y el programa es un ejecutable independiente que no requiere instalación.
Los usuarios pueden seleccionar la ubicación que desean descifrar y proporcionar al software un par de archivos originales/cifrados.
Configuración de los parámetros de descifrado (BleepingComputer)
También hay una opción para los usuarios con una contraseña de descifrado válida, pero si la víctima no tiene una, el software todavía puede intentar averiguarla iterando a través de todas las contraseñas BianLian conocidas.
Descifrador de la contraseña BianLian (Avast)
El descifrador también ofrece una opción de copia de seguridad de los archivos cifrados para evitar la pérdida irreversible de datos si algo sale mal durante el proceso.
Aquellos atacados por versiones más recientes del ransomware BianLian tendrán que localizar el binario del ransomware en el disco duro, que podría contener datos que se pueden utilizar para descifrar los archivos bloqueados.
Avast dice que algunos nombres de archivo y ubicaciones comunes para BianLian son:
- C:\Windows\TEMP\mativ.exe
- C:\Windows\Temp\Areg.exe
- C:\Users\%username%\Pictures\windows.exe
- anabolic.exe
Sin embargo, como el malware se borra a sí mismo después de la fase de cifrado de archivos, es poco probable que las víctimas encuentren esos binarios en sus sistemas.
A aquellos que consigan recuperar los binarios de BinaLian se les pide que los envíen a "This email address is being protected from spambots. You need JavaScript enabled to view it." para ayudar a Avast a mejorar su desencriptador.
Fuente: https://www.bleepingcomputer.com/news/security/avast-releases-free-bianlian-ransomware-decryptor/