Avast rilascia gratuitamente il decryptor ransomware BianLian
Pubblicato da Angelo Domeneghini in Utilità - Forse non tutti sanno che ... · 17 Gennaio 2023
Tags: #avast, #decryptor, #ransomware, #BianLian
Tags: #avast, #decryptor, #ransomware, #BianLian
Avast rilascia gratuitamente il decryptor ransomware BianLian
La società di software di sicurezza Avast ha rilasciato un decryptor gratuito per il ceppo ransomware BianLian per aiutare le vittime del malware a recuperare i file bloccati senza pagare gli hacker.
La disponibilità di un decryptor arriva solo circa sei mesi dopo l'aumento dell'attività da BianLian ransomware durante l'estate del 2022, quando il gruppo di minacce ha violato più organizzazioni di alto profilo.
Lo strumento di decriptazione di Avast può solo aiutare le vittime attaccate da una nota variante del ransomware BianLian.
Se gli hacker utilizzano una nuova versione del malware che i ricercatori devono ancora rilevare, lo strumento non è di alcun aiuto al momento.
Tuttavia, Avast afferma che il decryptor BianLian è un work in progress e la possibilità di sbloccare più ceppi verrà aggiunta a breve.
BianLian ransomware
BianLian (da non confondere con l'omonimo trojan bancario Android) è un ransomware basato su Go che prende di mira i sistemi Windows.
Utilizza l'algoritmo simmetrico AES-256 con la modalità di crittografia CBC per crittografare oltre 1013 estensioni di file su tutte le unità accessibili.
Il malware esegue la crittografia intermittente sui file della vittima, una tattica che aiuta ad accelerare gli attacchi a scapito della forza del blocco dei dati.
I file crittografati ottengono l'estensione ".bianlian", mentre la richiesta di riscatto generata avverte le vittime che hanno dieci giorni per soddisfare le richieste dell'hacker o i loro dati privati verranno pubblicati sul sito di fuga di dati della banda.
Per maggiori dettagli sul funzionamento del ransomware BianLian, consulta questo rapporto SecurityScoreCard sul ceppo pubblicato nel dicembre 2022.
Il decodificatore di Avast
Il decryptor ransomware BianLian è disponibile gratuitamente e il programma è un eseguibile autonomo che non richiede installazione.
Gli utenti possono selezionare la posizione che desiderano decrittografare e fornire al software una coppia di file originali/crittografati.
C'è anche un'opzione per gli utenti con una password di decrittazione valida, ma se la vittima non ne ha una, il software può comunque tentare di capirla ripetendo tutte le password BianLian conosciute.
Il decryptor offre anche un'opzione per il backup dei file crittografati per prevenire la perdita irreversibile dei dati se qualcosa va storto durante il processo.
Coloro che vengono attaccati dalle versioni più recenti del ransomware BianLian dovranno individuare il file binario del ransomware sul disco rigido, che potrebbe contenere dati che possono essere utilizzati per decifrare i file bloccati.
Avast afferma che alcuni nomi di file e posizioni comuni per BianLian sono:
C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Utenti\%nomeutente%\Immagini\windows.exe
anabolic.exe
Tuttavia, poiché il malware si autoelimina dopo la fase di crittografia dei file, è improbabile che le vittime trovino quei file binari sui propri sistemi.
Coloro che riescono a recuperare i binari BinaLian sono pregati di inviarli a "decryptors@avast.com" per aiutare Avast a migliorare il suo decrypter.