Cyberthreat.id – Perusahaan perangkat lunak keamanan Avast telah merilis dekripsi gratis untuk jenis ransomware BianLian untuk membantu korban malware memulihkan file yang terkunci tanpa membayar peretas.

Melansir Bleeping Computer, Ketersediaan dekripsi datang hanya sekitar setengah tahun setelah peningkatan aktivitas dari ransomware BianLian selama musim panas 2022, ketika grup ancaman melanggar beberapa organisasi terkenal.

Alat dekripsi Avast hanya dapat membantu korban yang diserang oleh varian yang diketahui dari ransomware BianLian.

Jika peretas menggunakan versi baru malware yang belum ditangkap oleh peneliti, alat tersebut tidak dapat membantu saat ini.

Namun, Avast mengatakan dekripsi BianLian sedang dalam proses, dan kemampuan untuk membuka lebih banyak strain akan segera ditambahkan.

Ransomware BianLian

BianLian (jangan bingung dengan trojan perbankan Android dengan nama yang sama) adalah jenis ransomware berbasis Go yang menargetkan sistem Windows.

Ini menggunakan algoritma AES-256 simetris dengan mode sandi CBC untuk mengenkripsi lebih dari 1013 ekstensi file di semua drive yang dapat diakses.

Malware melakukan enkripsi intermiten pada file korban, sebuah taktik yang membantu mempercepat serangan dengan mengorbankan kekuatan penguncian data.

File terenkripsi mendapatkan ekstensi ".bianlian", sedangkan catatan tebusan yang dihasilkan memperingatkan korban bahwa mereka memiliki sepuluh hari untuk memenuhi permintaan peretas atau data pribadi mereka akan dipublikasikan di situs kebocoran data geng.

Untuk perincian lebih lanjut tentang pengoperasian ransomware BianLian, lihat laporan SecurityScoreCard ini tentang strain yang diterbitkan pada Desember 2022.

Deskripsi Avast

Dekripsi ransomware BianLian tersedia secara gratis dan program ini dapat dijalankan secara mandiri yang tidak memerlukan instalasi.

Pengguna dapat memilih lokasi yang ingin mereka dekripsi dan menyediakan perangkat lunak dengan sepasang file asli/terenkripsi.

Ada juga opsi untuk pengguna dengan kata sandi dekripsi yang valid, tetapi jika korban tidak memilikinya, perangkat lunak masih dapat mencoba mengetahuinya dengan mengulangi semua kata sandi BianLian yang diketahui.

Decryptor juga menawarkan opsi untuk mencadangkan file terenkripsi untuk mencegah hilangnya data yang tidak dapat diubah jika terjadi kesalahan selama proses berlangsung.

Mereka yang diserang oleh ransomware BianLian versi yang lebih baru harus menemukan biner ransomware di hard drive, yang mungkin berisi data yang dapat digunakan untuk menguraikan file yang terkunci.

Avast mengatakan beberapa nama file dan lokasi umum untuk BianLian adalah:

1. C:\Windows\TEMP\mativ.exe

2. C:\Windows\Temp\Areg.exe

3. C:\Users\%username%\Pictures\windows.exe

4. anabolic.exe

Namun, karena malware menghapus dirinya sendiri setelah fase enkripsi file, kecil kemungkinan korban akan menemukan binari tersebut di sistem mereka.

Mereka yang berhasil mengambil binari BinaLian diminta untuk mengirimkannya ke "decryptors@avast.com" untuk membantu Avast meningkatkan pendekripsinya.