Disponibile il decryptor per il ransomware BianLian

··2 min read
Dario Fadda

Avast ha rilasciato un decryptor per il ransomware BianLian, disponibile per il download pubblico.

BianLian è emersa nell’agosto 2022, effettuando attacchi mirati in vari settori, principalmente media, produzione e assistenza sanitaria.

Il ransomware si distingue per il fatto che crittografa i file ad elevata velocità.

Funzionalità di BianLian emerse dalle analisi

BianLian è scritto in Go e compilato come eseguibile Windows a 64 bit.

Nel binario del ransomware, si possono vedere molte righe, comprese le informazioni sulla struttura della directory sul computer dell’autore.

The dati vengono crittografati utilizzando AES-256 in modalità CBC. La lunghezza dei dati crittografati è fino a 16 byte, come richiesto dalla cifratura AES CBC.

Al momento dell’esecuzione, BianLian ricerca tutte le unità disponibili (dalla A: alla Z:), sulle quali cerca e crittografa tutti i file la cui estensione corrisponde a una delle 1013 estensioni codificate nel file binario del programma.

Allo stesso tempo, il ransomware non crittografa il file né dall’inizio né fino alla fine. Invece, c’è un offset di file fisso codificato nel binario da cui ha origine la crittografia.

L’offset varia a seconda della selezione, ma nessuna delle selezioni note crittografa i dati dall’inizio alla fine del file.

Dopo che i dati sono stati crittografati, il ransomware aggiunge l’estensione bianlian e la nota di riscatto “Look at this instruction.txt” in ogni cartella del PC.

Il nuovo decryptor

Il decryptor può recuperare solo i file crittografati con la nota variante BianLian.

Le nuove vittime invece potrebbero aver bisogno di trovare il file binario del ransomware sul proprio disco rigido. Tuttavia, questo sarà problematico poiché il ransomware si elimina da solo dopo la crittografia.

See also

Secondo la telemetria Avast, i nomi di file comuni per il ransomware BianLian sul computer della vittima includono:

  • C:\Windows\TEMP\mativ.exe
  • C:\Windows\Temp\Areg.exe
  • C:\Users\%username%\Pictures\ windows .exe
  • anabolico.exe

Quando si cerca un file binario, è sempre una buona idea cercare un file EXE in una cartella che di solito non contiene file eseguibili, come %temp%, Documenti o Immagini.

Si consiglia anche si controllare i file catturati dall’antivirus. La dimensione tipica di un eseguibile BianLian è di circa 2 MB.

Secondo Avast, la scoperta di nuovi campioni consentirà loro di aggiornare il decryptor di conseguenza.

Le istruzioni per la decrittografia sono disponibili here.

Dario Fadda
IT & Security blogger per passione. Nel 2003 ho fondato Spcnet.it. Dal 2006 sono membro attivo del Gulch (Gruppo Utenti Linux Cagliari). Oggi scrivo qui e nella pagina "La Stampa dice" trovate i miei contributi per le testate giornalistiche. Per tutto il resto c'è dariofadda.it che contiene "quasi" tutto di me.
Related
Previous
Guerra al settore marittimo, circa mille navi DNV impattate da attacco ransomware
Next
Cellebrite ora è disponibile per tutti. Cosa contiene il leak del software di hacking

News cybersecurity, malware, ransomware, and data security

Contacts

For any information/reporting, editorial, you may contact us by all the social channels listed and via e-mail to: info@spcnet.it

Secure channel for Whistlerblowers