Новости Avast выпустила дешифратор от программ-вымогателей BianLian

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.809
Репутация
62.390
Реакции
277.002
RUB
0
Софт бесплатный и уже доступен на официальном сайте компании.

image



Компания Avast, занимающаяся программным обеспечением для обеспечения безопасности, выпустила бесплатный дешифратор для вируса-вымогателя BianLian. Дешифратор помогает жертвам вредоносных программ восстановить заблокированные файлы, не перечисляя денег злоумышленникам.

Дешифратор появился примерно через полгода после возросшей активности программы-вымогателя BianLian. Летом 2022 года она использовалась массово, были взломаны несколько известных организаций.

Инструмент Avast направлен только на BianLian. Файлы, зашифрованные другими типами шифровальщиков, он восстановить не сможет.

Также не исключено, что в сети можно наткнуться на новую версию BianLian, которую исследователи из Avast пока не видели и не оптимизировали под неё свой дешифратор.

Программа ещё находится в стадии разработки. В ближайшее время будет добавлена возможность разблокировать больше видов BianLian.

Подробнее о «BianLian»



BianLian (не путать с одноименным банковским трояном Android) — это разновидность программы-вымогателя на языке программирования Go. Вредонос нацелен на использование в системах Windows.

BianLian использует симметричный алгоритм AES-256 с режимом шифрования CBC и поддерживает более тысячи расширений файлов.

Вредоносное ПО выполняет прерывистое шифрование файлов жертвы. Это помогает ускорить процесс и не давать большой нагрузки на диск, чтобы пользователь ничего не заподозрил.

Зашифрованные файлы получают расширение «.bianlian» (с выбором дешифратора тут не ошибёшься), а сгенерированная записка о выкупе предупреждает жертв, что у них есть десять дней, чтобы выполнить требования хакера. В противном случае — личные данные жертвы будут опубликованы на сайте группировки.



Пример записки о выкупе BianLian

Что предлагает расшифровщик Avast?

Расшифровщик доступен бесплатно. Программа представляет собой автономный исполняемый файл, не требующий установки.

Пользователи могут выбрать целый каталог для расшифровки, но для этого сначала нужно предоставить программе пример: любой зашифрованный файл и его незашифрованную версию (без бэкапа придётся туго). Тогда дешифратор сможет подобрать пароль.



Дешифратор просит указать зашифрованный и оригинальный файл

В программе также есть опция для пользователей, у которых пароль расшифровки уже на руках. А получить его действительно возможно, если вовремя обнаружить атаку (об этом ниже). Если у жертвы нет пароля, программное обеспечение может попытаться подобрать его из имеющейся базы.



Дешифратор подобрал пароль

Расшифровщик также предлагает возможность резервного копирования зашифрованных файлов, чтобы предотвратить необратимую потерю данных, если что-то пойдет не так во время процесса.

В случае атаки более новых версий программы-вымогателя BianLian нужно попытаться найти двоичный файл программы-вымогателя на локальном диске, который может содержать данные для расшифровки заблокированных файлов.

Avast сообщает, что некоторые распространенные имена файлов и местоположения для них следующие:



  • C:\Windows\TEMP\mativ.exe
  • C:\Windows\Temp\Areg.exe
  • C:\Users\%username%\Pictures\windows.exe
  • anabolic.exe

Однако вредоносное ПО удаляет себя сразу после фазы шифрования файлов, поэтому маловероятно, что эти файлы получится найти в системе.

Сам дешифратор доступен по . А в случае обнаружения в системе двоичных файлов с данными шифрования (список выше), компания просит отправить их по адресу « [email protected] ». Так Avast сможет улучшить свой дешифратор.










 
Операторы вымогателя BianLian больше не шифруют файлы жертв, они просто требуют деньги.


В начале текущего года эксперты компании Avast выпустили бесплатный дешифровщик для файлов, пострадавших от атак вымогателя BianLian. После этого операторы вымогательского ПО сменили тактику и больше не шифруют данные своих жертв. Теперь они просто воруют информацию из скомпрометированных сетей и используют ее для вымогательства, вынуждая жертв платить за молчание.

Вымогатель BianLian был впервые замечен ИБ-экспертами еще в июле 2022 года, после того как он успешно взломал несколько известных организаций. В январе 2023 года компания Avast выпустила , который помогает жертвам восстановить свои файлы, пострадавшие из-за атак малвари.



Как теперь сообщают исследователи , после появления дешифровщика операторы вредоноса были вынуждены изменить свой подход к атакам.

Специалисты пишут, что в целом BianLian использует те же методы для получения первоначального доступа и бокового перемещения в сетях жертв, а также продолжает развертывать в зараженных системах собственный бэкдор на основе Go, который предоставляет удаленный доступ к скомпрометированному устройству.

Через 48 часов после взлома хакеры уже размещают на своем сайте завуалированную информацию о пострадавших, давая им примерно 10 дней на выплату выкупа. По состоянию на 13 марта 2023 года, операторы BianLian перечислили на своем сайте 118 организаций, причем подавляющее большинство (71%) — это компании, находящиеся в США.



Основным отличием недавних атак группы стали попытки монетизировать взломы без шифрования файлов. Теперь хакеры полагаются исключительно на угрозы и обещают «слить» украденные данные, если им не заплатят.

«Группировка обещает, что после оплаты [выкупа] она не будет публиковать украденные данные или иным образом раскрывать тот факт, что организация-жертва пострадала от взлома. BianLian предлагает гарантии, основанные на том факте, что их “бизнес” зависит от их репутации».

Также отмечается, что хакеры явно проводят собственные исследования и адаптируют сообщения под конкретных жертв, чтобы усилить давление на пострадавших. К примеру, в некоторых случаях злоумышленники угрожают жертвам правовыми и нормативными проблемами, с которыми они столкнутся, если их данные «утекут» в открытый доступ. При этом законы, на которые ссылаются хакеры, вполне соответствуют юрисдикции, в которой находится компания-жертва.

Неизвестно, послужил ли причиной для отказа от шифрования именно дешифровщик Avast, или его релиз лишь помог хакерам понять, что им не нужна эта часть атак, чтобы вымогать у жертв выкупы.

Нужно сказать, что BianLian не единственная группировка, которая занимается вымогательством без шифрования. Ранее этим путем уже шли ныне несуществующие Babuk и SnapMC, а также есть вымогатели, которые утверждают, что не участвуют непосредственно в шифровании файлов, включая RansomHouse, Donut и Karakurt.

Тем не менее, большинство хак-групп продолжает использовать шифрование в своих атаках, поскольку сбои в работе компаний, вызванные такой малварью, обычно оказывают на пострадавших огромное давление.

 
Сверху Снизу