安全企业Avast本周发布近来频繁活动的勒索软件BianLian(变脸)的解密密钥,开放一般用户下载。
BianLian是在2022年7、8月首次现身,已对包含媒体与娱乐、金融业(BFSI)、制造业、医疗保健等多种产业组织发动攻击,而且以加密文件之高速度引发关注。
这只勒索软件以Go语言开发而成并汇编成64-bit Windows执行文件,目前发现到它可能以含有ProxyShell漏洞的Exchange服务器,或是SonicWall的VPN设备为渠道访问系统。此外,研究人员相信,黑客可能借由此程序语言的跨平台特性,制作其他版本的勒索软件。
BianLIan以AES-256算法加密文件。它在执行后,会搜索所有可用的磁盘,并搜索所有文件,任何文件扩展名落在二进制程序中写入的1013种文件扩展名中的文件,都会被加密。它一项有趣特色是,它加密不会从一个文件起始,也不会加密到最后,而是根据二进制程序中offset属性的固定长度来决定。加密的文件会被加入.bian.ian的文件扩展名,再显示勒索消息,加密完成后,BianLian会自我删除以隐藏踪迹。
Avast提醒,它提供的解密密钥只能回复BianLian的已知变种加密的文件。但由于它会自行消失,因此这点很困难。目前Avast发现BianLian的常见名称为anabolic.exe、TEMP\mativ.exe或TEMP\Areg.exe,以及用户资料档下的C:\Users\%username%\Pictures\windows.exe。
BianLian的执行文件约为2MB。Avast建议用户找找不含执行文件的文件夹(如文件、照片)中的EXE档,或是杀毒软件的病毒库。
用户可在这个网站下载执行解密密钥,依据其精灵指示完成解密。