Avast lanza un descifrador para BianLian

Avast ha lanzado un descifrador para el ransomware BianLain. Esta variante del virus surgió en agosto de 2022, e infligió ataques dirigidos a varias industrias, tales como medios de comunicación y entrenamiento, la industria manufacturera y el sector sanitario.

Ladislav Zezula, investigador senior de malware de Avast, señala: “El ransomware BianLian utiliza el típico enfoque de doxing popular entre los autores de ransomware hoy en día, amenazando al usuario con publicar sus datos. El cifrado de datos y la extorsión a través de ransomware son la peor pesadilla para cualquier empresa. Sin embargo, instamos a las personas y empresas afectadas a que no se pongan en contacto con los autores de la amenaza.”

¿Cómo funciona BianLian?

BianLian es una variante de ransomware escrita en lenguaje Go y compilada como un ejecutable de Windows de 64 bits. debido a la naturaleza de su lenguaje, muchas cadenas directamente visibles en el binario, incluidos detalles sobre la estructura de directorios de la PC de la víctima. También hay referencias a bibliotecas de criptografía asimétrica en la muestra (RSA y curvas elípticas). Los datos del archivo se cifran con AES-256 en modo CBC, y la longitud de los datos cifrados se alinea a 16 bytes, según lo que requiera el cifrado AES CBC.

Tras su ejecución, BianLian busca en todas las unidades de disco disponibles y cifra los archivos cuya extensión de archivo coincidan con una de las 1013 extensiones codificadas en el binario del ransomware. Pero, el ransomware no cifra el archivo desde el principio ni lo cifra hasta el final.

En ese comportamiento se observa que hay un desplazamiento de archivo fijo codificado binario del que procede el cifrado. El desplazamiento difiere según la muestra, pero ninguna de las muestras conocidas cifra los datos desde el inicio del archivo. Una vez realizado el cifrado de datos, el ransomware agrega la extension .bianlian y suelta una nota de rescate llamada Look at this instruction.txt en cada carpeta del ordenador.

Tras cifrar los datos, BianLian emite una notificación de rescate llamada “Look at this instruction.txt”. En ella se solicita a las víctimas que se pongan en contacto con ellos para la restauración de los datos. El mensaje también insta a los objetivos a no realizar ningún cambio en la escritura de sus archivos, no tocarlos, ni intentar recuperarlos por sí mismos, pues puede conducir a su pérdida total.

¿Cómo funciona el descifrador?

El descifrador de BianLian solo restaura archivos cifrados por esta variante. Para las nuevas víctimas, es necesario encontrar el binario de ransomware en su disco duro. Sin embargo, debido a que el ransomware se elimina solo después del cifrado,es tremendamente complicado localizarlo. Según la telemetría de Avast, los nombres comunes del archivo de ransomware BianLian en la PC de la víctima incluyen:

• C:\Windows\TEMP\mativ.exe
• C:\Windows\Temp\Areg.exe
• C:\Users\%username%\Pictures\windows.exe
• anabolic.exe

Al buscar el binario de ransomware, desde Avast recomiendan buscar un archivo .exe en una carpeta que normalmente no contiene ejecutables, como %temp%, Documents o Pictures. También es recomendable revisar el antivirus del que dispongamos en nuestro ordenador. El tamaño típico del ejecutable de BianLian es de alrededor de 2 MB.

Zezula también ha querido explicar que “con este nuevo descifrador, las empresas y las personas pueden restaurar los archivos cifrados por las variantes conocidas del ransomware BianLian, y a medida que aparezcan nuevas variantes, estudiaremos opciones para actualizar la herramienta para cubrirlas también. Y como siempre, para prevenir los daños causados por una infección, se recomienda realizar copias de seguridad frecuentes para asegurarse de que los datos pueden ser restaurados si son cifrados por el ransomware.”

Avast continúa buscando nuevas muestras que permitan actualizar el descifrador. En caso de encontrar una muestra del ransomware BianLian, puede ponerse en contacto con Avast a través de la siguiente dirección de correo electrónico: decryptors@avast.com