Avast ha rilasciato un tool gratuito che permette di recuperare i file cifrati con il ransomware BianLian. Al momento il decryptor funziona solo con una specifica versione del malware. Gli utenti possono inviare gli eseguibili per migliorare il tool. È comunque consigliata l’installazione di una soluzione di sicurezza che rileva e blocca queste e altre pericolose minacce.
BianLian: analisi e decryptor
BianLian è una ransomware scritto il linguaggio Go, la cui diffusione è aumentata a partire a metà 2022. Sfrutta la crittografia AES a 256 bit con modalità CBC (Cipher Block Chaining). All’avvio effettua la scansione del sistema per individuare tutte le unità di storage e cifrare i file che hanno le 1.013 estensioni specificate nel codice.
Per velocizzare l’operazione viene utilizzata la cosiddetta crittografia intermittente. Al termine aggiunge l’estensione .bianlian
ai file e scrive le istruzioni da seguire in un documento di testo copiato in ogni directory. Se entro 10 giorni non viene pagato il riscatto, i dati rubati finiscono online. L’eseguibile del ransomware viene quindi cancellato.
Il decryptor per BianLian può essere scaricato da questo link. Una procedura guidata spiega come usare il tool. Per trovare la password è necessario caricare il file cifrato e quello originale. Dopo aver trovato la password, il decryptor recupera tutti gli altri file.
Se per qualche motivo non è stato cancellato l’eseguibile del ransomware dal computer, Avast chiede agli utenti di inviarlo tramite email. In questo modo sarà possibile aggiornare il tool per supportare le altre versioni di BianLian.