La empresa de seguridad Avast ha lanzado un descifrador gratuito para el ransomware BianLian que permite a las víctimas del malware recuperar los archivos cifrados.

Cabe destacar que la herramienta de descifrado de Avast sólo puede ayudar a las víctimas atacadas por una variante conocida del ransomware BianLian. En caso de que los ciberdelincuentes estén utilizando una nueva nueva versión del malware que los investigadores aún no han detectado, la herramienta no es de ayuda por el momento (aunque están trabajando para ello)

El ransomware BianLian

BianLian es una cepa de ransomware basada en Go y dirigida a sistemas Windows.

Tras su ejecución, BianLian busca en todas las unidades de disco disponibles (de la A: a la Z:) y todos los archivos que desea cifrar. El malware se dirige a 1013 extensiones que están codificadas en el binario del ransomware.

Una vez cifrado un archivo, el ransomware añade la extensión .bianlian y deja caer una nota de rescate (instruction.txt) en cada carpeta.

Nota de rescate de BianLian (Avast)

Una vez completado el proceso de cifrado, el ransomware se borra a sí mismo ejecutando el siguiente comando:

cmd /c del

Los investigadores de Avast afirman que las futuras versiones del descifrador podrán recuperar los archivos cifrados por versiones más recientes.

Al igual que otros descifradores, el del ransomware BianLian está disponible como ejecutable independiente.

El descifrador también ofrece una opción de copia de seguridad de los archivos cifrados para evitar la pérdida irreversible de datos si algo sale mal durante el proceso.

Los atacados por versiones más recientes del ransomware BianLian tendrán que localizar el binario del ransomware en el disco duro, que podría contener datos que pueden utilizarse para descifrar los archivos bloqueados.

Normalmente se encuentra en:

  • C:\Windows\TEMP\mativ.exe 
  • C:\Windows\Temp\Areg.exe 
  • C:\Users\%username%\Pictures\windows.exe 
  • anabolic.exe

Aquellos que consigan recuperar los binarios de BinaLian se les pide que los envíen a “decryptors@avast.com” para ayudar a Avast a mejorar su descifrador.