安全软件公司 Avast 发布了 BianLian 勒索软件的免费解密器,以帮助恶意软件的受害者在不向黑客支付费用的情况下恢复锁定的文件。
在 2022 年夏天 BianLian 勒索软件的活动增加后大约半年,该威胁组织入侵了多个知名组织,解密器的可用性就出现了。
Avast 的解密工具只能帮助被 BianLian 勒索软件已知变种攻击的受害者。
如果黑客使用的是研究人员尚未捕获的新版本恶意软件,则该工具目前无济于事。
不过,Avast 表示变连解密器正在开发中,很快就会添加解锁更多菌株的功能。
BianLian(不要与同名的 Android 银行木马混淆)是一种针对 Windows 系统的基于 Go 的勒索软件。
它使用对称 AES-256 算法和 CBC 密码模式来加密所有可访问驱动器上的 1013 多个文件扩展名。
该恶意软件对受害者的文件进行间歇性加密,这种策略以牺牲数据锁定强度为代价来帮助加快攻击速度。
加密文件的扩展名为“.bianlian”,而生成的赎金通知会警告受害者,他们有十天的时间来满足黑客的要求,否则他们的私人数据将被发布在该团伙的数据泄露网站上。
BianLian 赎金记录截图
BianLian 勒索软件解密器是免费提供的,该程序是一个不需要安装的独立可执行文件。
用户可以选择他们希望解密的位置,并为软件提供一对原始/加密文件。
设置解密参数
对于拥有有效解密密码的用户,还有一个选项,但如果受害者没有密码,该软件仍然可以通过遍历所有已知的变连密码来尝试找出密码。
破解BianLian密码的解密器
解密器还提供了备份加密文件的选项,以防止在过程中出现问题时发生不可逆转的数据丢失。
那些受到较新版本 BianLian 勒索软件攻击的人将不得不在硬盘驱动器上找到勒索软件二进制文件,其中可能包含可用于解密锁定文件的数据。
Avast 说 BianLian 的一些常见文件名和位置是:
-
C:\Windows\TEMP\mativ.exe
-
C:\Windows\Temp\Areg.exe
-
C:\Users\%username%\Pictures\windows.exe
-
anabolic.exe
然而,由于恶意软件在文件加密阶段后会自行删除,受害者不太可能在他们的系统上找到这些二进制文件。BianLian 勒索软件可执行文件的典型大小约为 2 MB。
如果您找到 BianLian 勒索软件的新样本和二进制文件可以将它们发送到“decryptors@avast.com”,以帮助 Avast 更新其解密器。
如何使用Avast解密工具解密被勒索软件加密的文件
1) 下载免费解密器
https://files.avast.com/files/decryptor/avast_decryptor_bianlian.exe
2) 运行可执行文件。它以向导的形式启动,引导您完成解密过程的配置。
3) 在初始页面上,我们有一个指向许可证信息的链接。Next当您准备好开始时,单击按钮。
4) 在下一页中,选择您要搜索和解密的位置列表。默认情况下,它包含所有本地驱动器的列表:
5) 在第三页,你需要提供一个被变连勒索软件加密过的原始文件。输入文件的两个名称。您还可以将文件从 Windows 资源管理器拖放到向导页面。
6) 如果您有之前运行解密程序创建的加密密码,您可以选择I know the password for decrypting files选项:
7) 下一页是进行密码破解过程的地方。Start当您准备好开始该过程时单击。密码破解过程会尝试所有已知的变连密码来确定正确的密码。
8) 找到密码后,您可以通过单击继续解密 PC 上的所有加密文件Next
9) 在最后一页,您可以选择备份您的加密文件。如果在解密过程中出现任何问题,这些备份可能会有所帮助。默认情况下,我们建议启用此选项。单击Decrypt解密过程开始后。让解密器工作并等待它完成对所有文件的解密。
