El equipo de Avast ha desarrollado un descifrador para el ransomware BianLian y lo ha puesto a disposición pública. El ransomware BianLian, que los expertos advierten que no hay que confundir con el malware para Android del mismo nombre, surgió en agosto de 2022 y se ha utilizado en ataques contra varias industrias, como los sectores de medios y entretenimiento, manufactura y atención médica, destaca por cifrar archivos a altas velocidades.
Desde Avast advierten que el descifrador solo funciona para archivos cifrados por una variante conocida del ransomware BianLian, pero que siguen trabajando para añadir más variantes en el descifrador.
A través de un post los investigadores de Avast explican que BrianLian es un ransomware escrito en lenguaje Go y compilado como un ejecutable de Windows de 64-bit. Tras su ejecución, BianLian busca en todas las unidades de disco disponibles (de la A: a la Z:). Para todas las unidades encontradas, busca todos los archivos y cifra todos cuya extensión de archivo coincide con una de las 1013 extensiones codificadas en el binario del ransomware.
Además de ofrecer instrucciones paso a paso sobre cómo usar el descifrador junto con los IoC (indicadores de compromiso) relacionados con la amenaza, Avast ofrece en su post información detallada del rasomware, que no cifra el archivo desde el principio ni cifra un archivo hasta el final. En cambio, hay un desplazamiento de archivo fijo codificado en el binario del que procede el cifrado. El desplazamiento difiere según la muestra, pero ninguna de las muestras conocidas cifra los datos desde el inicio del archivo.
Después del cifrado de datos, el ransomware agrega la extensión .bianlian y suelta una nota de rescate cada carpeta del PC. Cuando se completa el cifrado, el ransomware se elimina.
