Overslaan en naar de inhoud gaan

Gratis decryptie voor BianLian-ransomware

Slachtoffers van een specifiek geval van ransomware krijgen hoop op herstel zónder betaling van losgeld. Securityleverancier Avast biedt namelijk een gratis tool om versleutelde bestanden weer te bevrijden. Het gaat om data die is gepakt door de BianLian-ransomware, maar (nog) niet alle varianten van die malware.
securityleverancier Avast
© Avast
Avast

BianLian is afgelopen zomer als nieuwkomer op de lucratieve markt van ransomware verschenen. Het volgt de cybercriminele trend van malware schrijven in nieuwere programmeertalen, zoals in dit geval Go, waardoor het effectiever z'n kwaadaardige werk kan doen. BianLian is lastiger te detecteren zijn, kan bepaalde beschermingstools beter omzeilen en voert parallelle berekeningen uit om tegelijkertijd meerdere versleutelingsacties te plegen.

Zeer snelle gijzeling

Die zogeheten concurrency-aanpak zorgt ervoor dat BianLian heel snel werkt, schreven security-onderzoekers van BlackBerry al in een analyse van oktober vorig jaar. "Minuten maken het verschil voor verdedigers in hun reactie op een ransomware-aanval op het netwerk van een slachtoffer. BianLian-ransomware legt de cybercriminele lat hoger door bestanden te versleutelen met uitzonderlijke snelheid", aldus het Research & Intelligence Team van BlackBerry.

Het Threat Research Team van securityleverancier Avast komt nu met een eigen analyse van deze Windows-ransomware. Plus een gratis decryptietool. Daarmee kunnen slachtoffers simpelweg een opslagstation selecteren waarop versleutelde, door BianLian gegijzelde bestanden staan. Vervolgens moet nog wel een niet-versleuteld origineel bestand worden aangedragen, zodat de gratis decryptor z'n kraakwerk kan doen.

Nieuwere varianten

De bevrijdingstool van Avast is nog wel in ontwikkeling. Het kan namelijk alleen bestanden decrypten die zijn versleuteld door bekende varianten van BianLian. Nieuwere, niet eerder geziene varianten kunnen aanpassingen hebben waardoor de decryptor niet werkt. Voor nieuwe slachtoffers kan het dan ook noodzakelijk zijn om het eigenlijke ransomwareprogramma te vinden op hun Windows-systemen, legt Avast uit.

Dat advies kan lastig op te volgen zijn aangezien BianLian zichzelf wist na het encrypten van bestanden. Als securityprofessionals of forensisch onderzoekers toch een nieuwer exemplaar weten te 'vangen' dan wil Avast die graag ontvangen, om zijn decryptietool dan daarop aan te kunnen passen. Zelf zoekt het securitybedrijf ook actief naar nieuwe varianten. Volgens telemetrie van Avast houdt BianLian zich vaak schuil als:

  • C:\Windows\TEMP\mativ.exe 
  • C:\Windows\Temp\Areg.exe 
  • C:\Users\%username%\Pictures\windows.exe 
  • anabolic.exe

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in