セキュリティ ソフトウェア会社のアバストは、マルウェアの被害者がハッカーに料金を支払うことなくロックされたファイルを回復できるように、BianLian ランサムウェア株の無料の復号化ツールをリリースしました。
2022 年の夏に BianLian ランサムウェアの活動が増加した後、デクリプタが利用可能になったのはわずか半年後です。
アバストの復号化ツールは、BianLian ランサムウェアの既知の亜種によって攻撃された被害者のみを助けることができます。
ハッカーが、研究者がまだ見つけていない新しいバージョンのマルウェアを使用している場合、このツールは現時点では役に立ちません。
ただし、 Avast によると、BianLian デクリプタは開発中の作業であり、より多くの株のロックを解除する機能が間もなく追加される予定です。
BianLian ランサムウェア
BianLian ( 同名の Android バンキング型トロイの木馬と混同しないでください) は、Windows システムを標的とする Go ベースのランサムウェアです。
CBC暗号モードで対称AES-256アルゴリズムを使用して、アクセス可能なすべてのドライブで1013を超えるファイル拡張子を暗号化します.
マルウェアは、被害者のファイルに対して断続的な暗号化を実行します。これは、データ ロックの強度を犠牲にして攻撃を高速化するのに役立つ戦術です。
暗号化されたファイルには「.bianlian」拡張子が付けられ、生成された身代金メモは、ハッカーの要求を満たすために 10 日以内に被害者に警告します。
BianLian ランサムウェアの動作の詳細については、2022 年 12 月に公開された株に関するSecurityScoreCard レポートをご覧ください。
アバストのデクリプター
BianLian ランサムウェア デクリプタは無料で入手でき、プログラムはインストールを必要としないスタンドアロンの実行可能ファイルです。
ユーザーは、暗号化を解除したい場所を選択し、元のファイルと暗号化されたファイルのペアをソフトウェアに提供できます。
有効な復号化パスワードを持つユーザー向けのオプションもありますが、被害者がパスワードを持っていない場合でも、ソフトウェアは既知のすべての BianLian パスワードを反復処理して解読を試みることができます。
デクリプターは、暗号化されたファイルをバックアップするオプションも提供し、プロセス中に問題が発生した場合に不可逆的なデータ損失を防ぎます。
BianLian ランサムウェアの新しいバージョンに攻撃された場合、ハード ドライブ上でランサムウェア バイナリを見つける必要があります。このバイナリには、ロックされたファイルの解読に使用できるデータが含まれている可能性があります。
アバストによると、BianLian の一般的なファイル名と場所は次のとおりです。
- C:WindowsTEMPmativ.exe
- C:WindowsTempAreg.exe
- C:Users%username%Pictureswindows.exe
- anabolic.exe
ただし、マルウェアはファイル暗号化フェーズの後に自身を削除するため、被害者がシステム上でそれらのバイナリを見つける可能性は低いです。
BinaLian バイナリの取得に成功した人は、それらを「decryptors@avast.com」に送信して、Avast がデクリプタを改善するのを支援するよう求められます。
Comments