資安業者Avast本周釋出近來頻繁活動的勒索軟體BianLian(變臉)的解密金鑰,開放一般用戶下載。

BianLian是在2022年7、8月首次現身,已對包含媒體與娛樂、金融業(BFSI)、製造業、醫療保健等多種產業組織發動攻擊,而且以加密檔案之高速度引發關注。

這隻勒索軟體以Go語言開發而成並組譯成64-bit Windows執行檔,目前發現到它可能以含有ProxyShell漏洞的Exchange伺服器,或是SonicWall的VPN裝置為管道存取系統。此外,研究人員相信,駭客可能藉由此程式語言的跨平臺特性,製作其他版本的勒索軟體。

BianLIan以AES-256演算法加密檔案。它在執行後,會搜尋所有可用的磁碟,並搜尋所有檔案,任何副檔名落在二進位程式中寫入的1013種副檔名中的檔案,都會被加密。它一項有趣特色是,它加密不會從一個檔案起始,也不會加密到最後,而是根據二進位程式中offset屬性的固定長度來決定。加密的檔案會被加入.bian.ian的副檔名,再顯示勒索訊息,加密完成後,BianLian會自我刪除以隱藏蹤跡。

Avast提醒,它提供的解密金鑰只能回復BianLian的已知變種加密的檔案。但由於它會自行消失,因此這點很困難。目前Avast發現BianLian的常見名稱為anabolic.exe、TEMP\mativ.exe或TEMP\Areg.exe,以及用戶資料檔下的C:\Users\%username%\Pictures\windows.exe。

BianLian的執行檔約為2MB。Avast建議用戶找找不含執行檔的資料夾(如文件、相片)中的EXE檔,或是防毒軟體的病毒庫。

使用者可在這個網站下載執行解密金鑰,依據其精靈指示完成解密。

熱門新聞

Advertisement