Güvenlik yazılımı şirketi Avast, kötü amaçlı yazılım kurbanlarının bilgisayar korsanlarına ödeme yapmadan kilitli dosyaları kurtarmasına yardımcı olmak için BianLian fidye yazılımı türü için ücretsiz bir şifre çözücü yayınladı.
Bir şifre çözücünün kullanılabilirliği, tehdit grubunun çok sayıda yüksek profilli kuruluşu ihlal ettiği 2022 yazında BianLian fidye yazılımının artan etkinliğinden yalnızca yaklaşık altı ay sonra geldi.
Avast’ın şifre çözme aracı, yalnızca BianLian fidye yazılımının bilinen bir varyantı tarafından saldırıya uğrayan kurbanlara yardımcı olabilir.
Bilgisayar korsanları, araştırmacıların henüz yakalayamadığı kötü amaçlı yazılımın yeni bir sürümünü kullanıyorsa, araç şu anda yardımcı olmuyor.
Ancak Avast, BianLian şifre çözücünün devam eden bir çalışma olduğunu ve daha fazla türün kilidini açma yeteneğinin kısa süre içinde ekleneceğini söylüyor.
BianLian fidye yazılımı
BianLian (aynı adlı Android bankacılık truva atı ile karıştırılmamalıdır), Windows sistemlerini hedef alan Go tabanlı bir fidye yazılımı türüdür.
Tüm erişilebilir sürücülerde 1013’ün üzerinde dosya uzantısını şifrelemek için CBC şifreleme moduyla simetrik AES-256 algoritmasını kullanır.
Kötü amaçlı yazılım, kurbanın dosyalarında aralıklı şifreleme gerçekleştirir; bu, veri kilitleme gücü pahasına saldırıları hızlandırmaya yardımcı olan bir taktiktir.
Şifrelenmiş dosyalar “.bianlian” uzantısını alırken, oluşturulan fidye notu kurbanları hacker’ın taleplerini yerine getirmek için on günleri olduğu, aksi takdirde özel verilerinin çetenin veri sızıntısı sitesinde yayınlanacağı konusunda uyarır.
BianLian fidye yazılımının işleyişi hakkında daha fazla ayrıntı için Aralık 2022’de yayınlanan bu türle ilgili SecurityScoreCard raporuna göz atın.
Avast’ın şifre çözücüsü
BianLian fidye yazılımı şifre çözücü ücretsiz olarak mevcuttur ve program, kurulum gerektirmeyen bağımsız bir yürütülebilir dosyadır.
Kullanıcılar, şifresini çözmek istedikleri konumu seçebilir ve yazılıma bir çift orijinal/şifreli dosya sağlayabilir.
Geçerli bir şifre çözme şifresi olan kullanıcılar için de bir seçenek vardır, ancak kurbanın bir şifresi yoksa yazılım, bilinen tüm BianLian şifrelerini yineleyerek onu çözmeye çalışabilir.
Şifre çözücü, işlem sırasında bir şeyler ters giderse geri dönüşü olmayan veri kaybını önlemek için şifrelenmiş dosyaları yedekleme seçeneği de sunar.
BianLian fidye yazılımının daha yeni sürümleri tarafından saldırıya uğrayanlar, kilitli dosyaların şifresini çözmek için kullanılabilecek verileri içerebilecek sabit sürücüdeki fidye yazılımı ikili dosyasını bulmak zorunda kalacaklar.
Avast, BianLian için bazı yaygın dosya adlarının ve konumların şöyle olduğunu söylüyor:
- C:\Windows\TEMP\mativ.exe
- C:\Windows\Temp\Areg.exe
- C:\Users\%username%\Pictures\windows.exe
- anabolik.exe
Ancak, kötü amaçlı yazılım dosya şifreleme aşamasından sonra kendini sildiği için, kurbanların sistemlerinde bu ikili dosyaları bulması pek olası değildir.
BinaLian ikili dosyalarını almayı başaranların, Avast’ın şifre çözücüsünü iyileştirmesine yardımcı olmak için bunları “[email protected]” adresine göndermeleri istenir.