Avast釋出「變臉」勒索軟體金鑰

資安業者Avast本周釋出近來頻繁活動的勒索軟體BianLian（變臉）的解密金鑰，開放一般用戶下載。

BianLian是在2022年7、8月首次現身，已對包含媒體與娛樂、金融業（BFSI）、製造業、醫療保健等多種產業組織發動攻擊，而且以加密檔案之高速度引發關注。

這隻勒索軟體以Go語言開發而成並組譯成64-bit Windows執行檔，目前發現到它可能以含有ProxyShell漏洞的Exchange伺服器，或是SonicWall的VPN裝置為管道存取系統。此外，研究人員相信，駭客可能藉由此程式語言的跨平臺特性，製作其他版本的勒索軟體。

BianLIan以AES-256演算法加密檔案。它在執行後，會搜尋所有可用的磁碟，並搜尋所有檔案，任何副檔名落在二進位程式中寫入的1013種副檔名中的檔案，都會被加密。它一項有趣特色是，它加密不會從一個檔案起始，也不會加密到最後，而是根據二進位程式中offset屬性的固定長度來決定。加密的檔案會被加入.bian.ian的副檔名，再顯示勒索訊息，加密完成後，BianLian會自我刪除以隱藏蹤跡。

Avast提醒，它提供的解密金鑰只能回復BianLian的已知變種加密的檔案。但由於它會自行消失，因此這點很困難。目前Avast發現BianLian的常見名稱為anabolic.exe、TEMP\mativ.exe或TEMP\Areg.exe，以及用戶資料檔下的C:\Users\%username%\Pictures\windows.exe。

BianLian的執行檔約為2MB。Avast建議用戶找找不含執行檔的資料夾（如文件、相片）中的EXE檔，或是防毒軟體的病毒庫。

使用者可在這個網站下載執行解密金鑰，依據其精靈指示完成解密。