Specjaliści z firmy Avast udostępnili darmowe narzędzie deszyfrujące, które umożliwia odzyskanie plików zaszyfrowanych przez ransomware BianLian. Wirusa po raz pierwszy wykryto w sierpniu 2022 roku. Był on szczególnie aktywny w atakach na branże rozrywkowe, produkcyjne i sektor medyczny.
Spis treści
Ransomware BianLian – działanie wirusa
Ransomware BianLian został napisany w języku programowania Go, przez co początkowo był trudniejszy do wykrycia. Atakuje użytkowników 64-bitowego systemu Windows. Jego działanie polega na skanowaniu wszystkich dysków komputera w poszukiwaniu plików o konkretnych rozszerzeniach. Twórcy tego wirusa skupiali się głównie na plikach mogących zawierać prywatne i ważne dla użytkownika informacje, ale w kodzie źródłowym zaszyli ponad 1000 rozszerzeń, które złośliwe oprogramowanie ma atakować.
Po zlokalizowaniu takich plików wirus wybiórczo je szyfruje, blokując dostęp do części, a nie całego pliku. Dzięki temu zaszyfrowanie całego dysku zajmuje mu mniej czasu niż w przypadku kompletnego procesu.
Ransomware BianLian po skończeniu ataku zostawia w folderach plik tekstowy z informacją, że dane zostały zaszyfrowane i w celu ich odzyskania należy opłacić okup. Zaszyfrowane pliki otrzymują rozszerzenie .bianlian, a sam wirus usuwa się z dysku, utrudniając jego wykrycie.
BianLian – darmowy dekryptor
Firma Avast udostępnia na swojej stronie darmowy dekryptor, który pozwala odzyskać zaszyfrowane pliki. Deszyfrator działa jednak wyłącznie na obecnie znane warianty zagrożenia BianLian.
W przypadku nowych ofiar konieczne może być znalezienie pliku binarnego wirusa na dysku. Ponieważ ransomware usuwa się po zaszyfrowaniu, może to być trudne. Według telemetrii Avast powszechne nazwy plików ransomware BianLian na komputerze ofiary mogą być następujące:
- C:\Windows\TEMP\mativ.exe
- C:\Windows\Temp\Areg.exe
- C:\Users\%username%\Pictures\windows.exe
- anabolic.exe
Sprawdź nasze darmowe poradniki i programy
Aby deszyfrator działał poprawnie, użytkownik musi zaznaczyć przynajmniej jeden zaszyfrowany plik, a następnie wskazać jego niezaszyfrowaną kopię. Może to być dowolny plik. Dzięki temu narzędzie będzie w stanie je porównać i złamać zabezpieczenia pozostałych zaszyfrowanych plików.
Szczegółowa instrukcja działania dostępna jest na stronie Avast, skąd można też pobrać dekryptor.