Cyberattaque

Avast lance un outil gratuit pour déchiffrer le ransomware BianLian

Par Philippe Ternision , le 18 janvier 2023 , mis à jour le 18 janvier 2023 - 3 minutes de lecture
hacker
Notez l'article

Afin d’aider les victimes de l’infection à récupérer leurs fichiers sans payer les voleurs, le fournisseur de logiciels de sécurité Avast a mis à disposition un décrypteur gratuit pour la souche de ransomware BianLian.

La publication d’un décrypteur intervient un peu plus d’un an après le pic d’activité du ransomware BianLian au cours de l’été 2022, lorsque le groupe de menaces a pénétré dans de nombreuses entreprises bien connues.

Seules les personnes qui ont été infectées par une souche connue du ransomware BianLian peuvent bénéficier de l’outil de décryptage d’Avast.

Cet outil est actuellement inutile si les pirates utilisent une nouvelle variante du malware que les experts n’ont pas encore découverte.

Toutefois, selon Avast, le décrypteur de BianLian est toujours en cours de développement et d’autres souches pourront bientôt être débloquées.

Le ransomware BianLian

Une variante de ransomware basée sur Go, appelée BianLian, qui cible les systèmes Windows, ne doit pas être confondue avec le virus bancaire Android du même nom.

Sur tous les lecteurs accessibles, il chiffre plus de 1013 extensions de fichiers à l’aide de l’algorithme symétrique AES-256 et du mode de chiffrement CBC.

Dans le but d’accélérer les attaques au détriment de la force de verrouillage des données, le malware effectue un chiffrement ponctuel des fichiers de la victime.

Le suffixe “.bianlian” est utilisé pour les fichiers chiffrés, et la lettre de rançon créée informe les victimes que si elles ne répondent pas aux demandes dans les dix jours, leurs informations personnelles seront rendues publiques sur le site Web de fuite de données du gang de pirates.

Consultez ce rapport de SecurityScoreCard sur la souche de ransomware BianLian de décembre 2022 pour obtenir des informations supplémentaires sur son fonctionnement.

.

BianLian ransom note
Note de rançon de BianLian (Avast)

L’outil de déchiffrement d’Avast

L’outil permettant de déchiffrer les fichier du ransomware BianLian est un logiciel autonome qui peut être exécuté sans avoir besoin d’être installé.

Les utilisateurs peuvent choisir l’endroit à partir duquel ils souhaitent décrypter et fournir au logiciel deux fichiers originaux/cryptés pour travailler.

Setting the decryption parameters
Réglage des paramètres de décryptage (BleepingComputer)

Les utilisateurs disposant d’un mot de passe de décryptage fonctionnel ont le choix de l’utiliser, mais si la victime n’en a pas, le logiciel peut toujours essayer de le déchiffrer en itérant de manière répétée parmi tous les mots de passe bianlais.

Decryptrr cracking the BianLian password
Décrypteur craquant le mot de passe BianLian (Avast)

T

En cas de problème lors du décryptage, le décrypteur offre également une option de sauvegarde des fichiers cryptés.

Le binaire du ransomware, qui peut contenir des informations pouvant être utilisées pour décrypter les fichiers verrouillés, doit être trouvé sur le disque dur par ceux qui ont été infectés par les nouvelles versions du ransomware BianLian.

Selon Avast, les emplacements et noms de fichiers typiques de BianLian sont les suivants :

  • C:WindowsTEMPmativ.exe
  • C:WindowsTempAreg.exe
  • C:Users%username%Pictureswindows.exe
  • anabolic.exe

Cependant, il est peu probable que les victimes découvrent ces programmes sur leur système car le malware se supprime lui-même après l’étape de cryptage des fichiers.

Afin d’aider Avast à améliorer son décrypteur, les personnes qui parviennent à localiser les binaires de BinaLian sont priées de les envoyer à “[email protected]”.

 

 

Philippe Ternision

Philippe Ternision

Administrateur réseau dans un grand groupe, je partage mes connaissances sur Hfrance pour aider mes confrères et mes consoeurs.