Décrypteur pour BianLian
BIANLIAN (fiche wikipedia)
Outre le langage de programmation ( langage de programmation Go (alias Golang).) cela peut donner une idée de l'origine de ce ransomware, bien que jamais revendiqué par un groupeLe Bianlian « visage changeant » ou « visage changeant de l'opéra du Sichuan » est un art vivant lié à l'opéra du Sichuan en République populaire de Chine, dans laquelle l'artiste change de masques à plusieurs reprises et doit, selon les règles, être imperceptible au spectateur. Dans les faits le changement se fait en une fraction de seconde et le même masque peut aller jusqu'à changer plusieurs dizaines de fois de motif. Ce type de spectacle mêle la gestuelle, la danse, l'illusion et la prestidigitation.
Cela pourrait indiquer des Nord Coréens ou la Chine
Je doute que des particuliers soient touchés et en plus en France
Ce ransomware ciblait plutôt le monde industriel et les pays anglo saxons
C'est AVAST qui s'y colle cette fois en publiant un décrypteur "gratuit" pour ce ransomware
Source : https://www.bleepingcomputer.com/news/s ... decryptor/
Il est précisé que :
L'outil de décryptage d'Avast ne peut aider que les victimes attaquées par une variante connue du rançongiciel BianLian.
Si les pirates utilisent une nouvelle version du logiciel malveillant que les chercheurs n'ont pas encore détectée, l'outil n'est d'aucune utilité pour le moment.
Cependant, Avast dit que le décrypteur BianLian est un travail en cours, et la possibilité de débloquer plus de souches sera ajoutée sous peu.
https://decoded.avast.io/threatresearch ... ansomware/
BianLian (à ne pas confondre avec le cheval de Troie bancaire Android du même nom ) est une souche de ransomware basée sur Go ciblant les systèmes Windows.
Il utilise l'algorithme symétrique AES-256 avec le mode de chiffrement CBC pour chiffrer plus de 1013 extensions de fichiers sur tous les lecteurs accessibles.
Le logiciel malveillant effectue un chiffrement intermittent sur les fichiers de la victime, une tactique qui permet d'accélérer les attaques au détriment de la force de verrouillage des données.
Les fichiers cryptés reçoivent l'extension ".bianlian", tandis que la note de rançon générée avertit les victimes qu'elles ont dix jours pour répondre aux demandes du pirate ou leurs données privées seront publiées sur le site de fuite de données du gang.
Pour plus de détails sur le fonctionnement du rançongiciel BianLian, consultez ce rapport SecurityScoreCard sur la souche publié en décembre 2022.
Le décrypteur d'Avast
Le décrypteur de ransomware BianLian est disponible gratuitement et le programme est un exécutable autonome qui ne nécessite pas d'installation.
Les utilisateurs peuvent sélectionner l'emplacement qu'ils souhaitent décrypter et fournir au logiciel une paire de fichiers originaux/cryptés.
Il existe également une option pour les utilisateurs disposant d'un mot de passe de déchiffrement valide, mais si la victime n'en a pas, le logiciel peut toujours tenter de le découvrir en parcourant tous les mots de passe BianLian connus.
Le décrypteur offre également une option de sauvegarde des fichiers cryptés pour éviter une perte irréversible de données en cas de problème pendant le processus.
Les personnes attaquées par les nouvelles versions du ransomware BianLian devront localiser le binaire du ransomware sur le disque dur, qui pourrait contenir des données pouvant être utilisées pour déchiffrer les fichiers verrouillés.
Avast indique que certains noms de fichiers et emplacements courants pour BianLian sont :
C:\Windows\TEMP\mativ.exe
C:\Windows\Temp\Areg.exe
C:\Users\%username%\Pictures\windows.exe
anabolic.exe
Cependant, étant donné que le logiciel malveillant se supprime après la phase de cryptage des fichiers, il est peu probable que les victimes trouvent ces fichiers binaires sur leurs systèmes.
Ceux qui parviennent à récupérer les binaires BinaLian sont priés de les envoyer à "[email protected]" pour aider Avast à améliorer son décrypteur.
Téléchargement https://files.avast.com/files/decryptor ... anlian.exe
Documentation :; https://decoded.avast.io/threatresearch ... to_decrypt
--------
Edit du 5/01/2023
Important ! : Il ne faut surtout pas utiliser le décrypteur avec la nouvelle version 2.0, l’outil risque de corrompre les fichiers piégés après août 2022.
Le pire c'est que ce sont ceux qui sont derrière ce ransomware qui donnent l'avertissement :-)