- Специальный корреспондент
Софт бесплатный и уже доступен на официальном сайте компании.
Компания Avast, занимающаяся программным обеспечением для обеспечения безопасности, выпустила бесплатный дешифратор для вируса-вымогателя BianLian. Дешифратор помогает жертвам вредоносных программ восстановить заблокированные файлы, не перечисляя денег злоумышленникам.
Дешифратор появился примерно через полгода после возросшей активности программы-вымогателя BianLian. Летом 2022 года она использовалась массово, были взломаны несколько известных организаций.
Инструмент Avast направлен только на BianLian. Файлы, зашифрованные другими типами шифровальщиков, он восстановить не сможет.
Также не исключено, что в сети можно наткнуться на новую версию BianLian, которую исследователи из Avast пока не видели и не оптимизировали под неё свой дешифратор.
Программа ещё находится в стадии разработки. В ближайшее время будет добавлена возможность разблокировать больше видов BianLian.
Подробнее о «BianLian»
BianLian (не путать с одноименным банковским трояном Android) — это разновидность программы-вымогателя на языке программирования Go. Вредонос нацелен на использование в системах Windows.
BianLian использует симметричный алгоритм AES-256 с режимом шифрования CBC и поддерживает более тысячи расширений файлов.
Вредоносное ПО выполняет прерывистое шифрование файлов жертвы. Это помогает ускорить процесс и не давать большой нагрузки на диск, чтобы пользователь ничего не заподозрил.
Зашифрованные файлы получают расширение «.bianlian» (с выбором дешифратора тут не ошибёшься), а сгенерированная записка о выкупе предупреждает жертв, что у них есть десять дней, чтобы выполнить требования хакера. В противном случае — личные данные жертвы будут опубликованы на сайте группировки.
Пример записки о выкупе BianLian
Что предлагает расшифровщик Avast?
Расшифровщик доступен бесплатно. Программа представляет собой автономный исполняемый файл, не требующий установки.
Пользователи могут выбрать целый каталог для расшифровки, но для этого сначала нужно предоставить программе пример: любой зашифрованный файл и его незашифрованную версию (без бэкапа придётся туго). Тогда дешифратор сможет подобрать пароль.
Дешифратор просит указать зашифрованный и оригинальный файл
В программе также есть опция для пользователей, у которых пароль расшифровки уже на руках. А получить его действительно возможно, если вовремя обнаружить атаку (об этом ниже). Если у жертвы нет пароля, программное обеспечение может попытаться подобрать его из имеющейся базы.
Дешифратор подобрал пароль
Расшифровщик также предлагает возможность резервного копирования зашифрованных файлов, чтобы предотвратить необратимую потерю данных, если что-то пойдет не так во время процесса.
В случае атаки более новых версий программы-вымогателя BianLian нужно попытаться найти двоичный файл программы-вымогателя на локальном диске, который может содержать данные для расшифровки заблокированных файлов.
Avast сообщает, что некоторые распространенные имена файлов и местоположения для них следующие:
Однако вредоносное ПО удаляет себя сразу после фазы шифрования файлов, поэтому маловероятно, что эти файлы получится найти в системе.
Сам дешифратор доступен по . А в случае обнаружения в системе двоичных файлов с данными шифрования (список выше), компания просит отправить их по адресу « [email protected] ». Так Avast сможет улучшить свой дешифратор.
Компания Avast, занимающаяся программным обеспечением для обеспечения безопасности, выпустила бесплатный дешифратор для вируса-вымогателя BianLian. Дешифратор помогает жертвам вредоносных программ восстановить заблокированные файлы, не перечисляя денег злоумышленникам.
Дешифратор появился примерно через полгода после возросшей активности программы-вымогателя BianLian. Летом 2022 года она использовалась массово, были взломаны несколько известных организаций.
Инструмент Avast направлен только на BianLian. Файлы, зашифрованные другими типами шифровальщиков, он восстановить не сможет.
Также не исключено, что в сети можно наткнуться на новую версию BianLian, которую исследователи из Avast пока не видели и не оптимизировали под неё свой дешифратор.
Программа ещё находится в стадии разработки. В ближайшее время будет добавлена возможность разблокировать больше видов BianLian.
Подробнее о «BianLian»
BianLian (не путать с одноименным банковским трояном Android) — это разновидность программы-вымогателя на языке программирования Go. Вредонос нацелен на использование в системах Windows.
BianLian использует симметричный алгоритм AES-256 с режимом шифрования CBC и поддерживает более тысячи расширений файлов.
Вредоносное ПО выполняет прерывистое шифрование файлов жертвы. Это помогает ускорить процесс и не давать большой нагрузки на диск, чтобы пользователь ничего не заподозрил.
Зашифрованные файлы получают расширение «.bianlian» (с выбором дешифратора тут не ошибёшься), а сгенерированная записка о выкупе предупреждает жертв, что у них есть десять дней, чтобы выполнить требования хакера. В противном случае — личные данные жертвы будут опубликованы на сайте группировки.
Пример записки о выкупе BianLian
Что предлагает расшифровщик Avast?
Расшифровщик доступен бесплатно. Программа представляет собой автономный исполняемый файл, не требующий установки.
Пользователи могут выбрать целый каталог для расшифровки, но для этого сначала нужно предоставить программе пример: любой зашифрованный файл и его незашифрованную версию (без бэкапа придётся туго). Тогда дешифратор сможет подобрать пароль.
Дешифратор просит указать зашифрованный и оригинальный файл
В программе также есть опция для пользователей, у которых пароль расшифровки уже на руках. А получить его действительно возможно, если вовремя обнаружить атаку (об этом ниже). Если у жертвы нет пароля, программное обеспечение может попытаться подобрать его из имеющейся базы.
Дешифратор подобрал пароль
Расшифровщик также предлагает возможность резервного копирования зашифрованных файлов, чтобы предотвратить необратимую потерю данных, если что-то пойдет не так во время процесса.
В случае атаки более новых версий программы-вымогателя BianLian нужно попытаться найти двоичный файл программы-вымогателя на локальном диске, который может содержать данные для расшифровки заблокированных файлов.
Avast сообщает, что некоторые распространенные имена файлов и местоположения для них следующие:
- C:\Windows\TEMP\mativ.exe
- C:\Windows\Temp\Areg.exe
- C:\Users\%username%\Pictures\windows.exe
- anabolic.exe
Однако вредоносное ПО удаляет себя сразу после фазы шифрования файлов, поэтому маловероятно, что эти файлы получится найти в системе.
Сам дешифратор доступен по . А в случае обнаружения в системе двоичных файлов с данными шифрования (список выше), компания просит отправить их по адресу « [email protected] ». Так Avast сможет улучшить свой дешифратор.
