|
资安业者Avast释出勒索软体BianLian(变脸)解密金钥,可回复BianLian的已知变种加密的档案
文/林妍溱 | 2023-01-17发表
![]()
BianLian是在2022年7、8月首次现身,已对包含媒体与娱乐、金融业(BFSI)、制造业、医疗保健等多种产业组织发动攻击,而且以加密档案之高速度引发关注。 这只勒索软体以Go语言开发而成并组译成64-bit Windows执行档,目前发现到它可能以含有ProxyShell漏洞的Exchange伺服器,或是SonicWall的VPN装置为管道存取系统。此外,研究人员相信,骇客可能藉由此程式语言的跨平台特性,制作其他版本的勒索软体。 BianLIan以AES-256演算法加密档案。它在执行后,会搜寻所有可用的磁碟,并搜寻所有档案,任何副档名落在二进位程式中写入的1013种副档名中的档案,都会被加密。它一项有趣特色是,它加密不会从一个档案起始,也不会加密到最后,而是根据二进位程式中offset属性的固定长度来决定。加密的档案会被加入.bian.ian的副档名,再显示勒索讯息,加密完成后,BianLian会自我删除以隐藏踪迹。 Avast提醒,它提供的解密金钥只能回复BianLian的已知变种加密的档案。但由于它会自行消失,因此这点很困难。目前Avast发现BianLian的常见名称为anabolic.exe、TEMP\mativ.exe或TEMP\Areg.exe,以及用户资料档下的C:\Users\%username%\Pictures\windows.exe。 BianLian的执行档约为2MB。Avast建议用户找找不含执行档的资料夹(如文件、相片)中的EXE档,或是防毒软体的病毒库。
| 
收藏