© Foxeel / Shutterstock
© Foxeel / Shutterstock

Avast a annoncé avoir développé un outil de déchiffrement gratuit pour les victimes du ransomware BianLian. Celui-ci est désormais disponible au téléchargement.

Cependant, les chercheurs précisent que cette solution n'est réservée qu'aux victimes d'une variante déjà connue du ransomware. Ils donnent des pistes pour celles qui seraient touchées par une nouvelle version.

Un ransomware détecté en 2022

Si l'infrastructure associée à BianLian est apparue en décembre 2021, d'après les chercheurs de [redacted], c'est vers l'été 2022 que les activités du groupe se sont multipliées et que le ransomware a ainsi été détecté, comme souligné dans un rapport de Cyble publié en août 2022. BianLian possède une particularité : il est écrit en Go, un langage de programmation créé par des employés de Google et de plus en plus prisé par les opérateurs de ransomwares pour sa capacité à chiffrer rapidement les systèmes ciblés.

En octobre 2022, les chercheurs de BlackBerry indiquaient qu'au moins 23 entreprises avaient été victimes du ransomware. BianLian vise particulièrement des pays anglophones, ce qui laisse sous-entendre une motivation financière plutôt que politique, et les entreprises touchées proviennent de plusieurs industries : services financiers, éducation, santé, banques, assurance, énergie, construction, mais aussi divertissement. Les criminels derrière BianLian ont opté pour le principe de la double extorsion. En plus de chiffrer les données, ils indiquent dans leur note de rançon en avoir récupéré et menacent de les publier sous 10 jours en l'absence de paiement.

© [redacted]
© [redacted]

Mais si les pirates sont assez avancés techniquement, [redacted] note qu'ils semblent assez novices en matière de ransomware. Il leur arrive de se tromper dans les données envoyées à leurs victimes, la note de rançon a évolué plusieurs fois en quelques mois, et leur infrastructure n'est pas toujours fiable. Il semblerait donc que BianLian soit un tout nouveau groupe qui n'est pas issu d'un groupe de ransomware défunt.

Un outil de déchiffrement encore imparfait

Quelques mois après la multiplication des activités de BianLian, Avast a sorti un outil de déchiffrement pour les victimes afin qu'elles retrouvent leurs données sans devoir payer les criminels. Cependant, l'outil reste limité, puisqu'il n'est capable de déchiffrer que les fichiers infectés par une variante connue du ransomware.

Pour les autres, Avast leur recommande d'essayer de trouver le fichier du ransomware sur leur PC, notamment en cherchant un exécutable dans un dossier qui ne devrait pas en contenir. L'entreprise donne plusieurs exemples de noms communs et emplacements du fichier BianLian :

  • C:\Windows\TEMP\mativ.exe 
  • C:\Windows\Temp\Areg.exe 
  • C:\Users\%username%\Pictures\windows.exe 
  • anabolic.exe

Problème, le ransomware se supprime lui-même après avoir chiffré les fichiers. Il peut donc être difficile pour les victimes de le récupérer et de l'envoyer le cas échéant à Avast. Tous les détails concernant l'outil de déchiffrement et les instructions pour l'utiliser sont à retrouver sur le site de l'entreprise.

Sources : [redacted], Cyble, BlackBerry, Avast

Avis Avast Ultimate (2024) : une suite de sécurité tout-en-un en net progrès
Antivirus renommé Avast a simplifié sa stratégie de sécurité informatique en proposant une suite de sécurité complète. Disponible pour Windows, macOS, Android et iOS, elle repose sur un solide moteur de détection capable de bloquer en temps réel les menaces les plus sophistiquées. Régulièrement primée par les laboratoires de tests indépendants pour son efficacité, elle offre en outre un large éventail d’outils avancés permettant de renforcer considérablement la confidentialité en ligne. Une solution qui rivalise avec les meilleurs antivirus du marché.