Avast lanza descifrador contra ransomware, BianLian
El equipo de Avast desarrolló un descifrador para el ransomware BianLian y lo lanzó para su descarga pública con el fin de evitar más ataques
Avast con este importante descifrador, buscará que industrias como, como medios de comunicación, empresas de entretenimiento, industria manufacturera y el sector sanitario no estén expuestos a este ransomware.
¿Cómo se comporta este ransomware?
Tras su ejecución, BianLian busca en todas las unidades de disco disponibles (de la A: a la Z:). archivos y cifra todos cuya extensión de archivo coincide con una de las 1013 extensiones codificadas en el binario del ransomware.
Curiosamente, el ransomware no cifra el archivo desde el principio ni lo cifra hasta el final. Lo que hace es un desplazamiento de archivo fijo codificado en el binario del que procede el cifrado. El desplazamiento difiere según la muestra, pero ninguna de las muestras conocidas cifra los datos desde el inicio del archivo.
Tras cifrar los datos, el ransomware envía una nota de rescate llamada «Look at this instruction.txt», la cual pide a su víctima en un mensaje de error lo siguiente:
«Ponte en contacto con nosotros para restaurar tus datos. No hagas ningún cambio en la estructura de tus archivos: no toques ningún archivo, no intentes recuperarlos por ti mismo, eso puede conducir a su pérdida total».
Para contactar con los ciberdelincuentes, hay que descargar el mensajero «tox». También se informa a las víctimas que los autores de la amenaza bajaron datos de su red, incluidos archivos financieros y empresariales, de clientes, técnicos y personales, avisando que en diez días se publicará esta información.
«BianLian utiliza el típico enfoque de doxing, popular entre los autores de ransomware hoy en día, amenazando al usuario con publicar sus datos. El cifrado de información y la extorsión a través de ransomware son la peor pesadilla combinada de las empresas.»
Sin embargo, pedimos a la gente y compañías afectadas que no se pongan en contacto con los cibercriminales. Con este nuevo descifrador, las compañías y las personas pueden restaurar los archivos cifrados por las variantes conocidas del ransomware BianLian y, a medida que aparezcan nuevas variantes, estudiaremos opciones para actualizar la herramienta y ampliar su cobertura.»
«Como siempre, para prevenir los daños causados por una infección, se recomienda realizar copias de seguridad de manera frecuente para asegurarse de que los datos puedan restaurarse si son cifrados por el ransomware.» Ladislav Zezula, investigador senior de malware de Avast:
Cómo utilizar la herramienta de descifrado de Avast para descifrar archivos cifrados por el ransomware
Los pasos para descifrar los archivos son:
1) Descarga el descifrador gratuito
2) Ejecuta el archivo ejecutable. Comienza como un asistente que irá guiando a través de la configuración del proceso de descifrado.
3) En la página inicial, tenemos un enlace a la información de la licencia. Haga clic en el botón Next, cuando esté listo para comenzar.
4)Selecciona la lista de ubicaciones que deseas buscar y descifrar. De forma predeterminada, contiene una lista de todas las unidades locales:
5)El siguiente paso será insertar el archivo en su forma original y encriptado por el ransomware BianLian.
6) Si tiene una contraseña de cifrado creada por una ejecución anterior del descifrador, puede seleccionar la opción I know the password for decrypting files:
Startcuando estés listo para iniciar el proceso. 
8) Una vez que se encuentra la contraseña, puede proceder a descifrar todos los archivos cifrados en tu PC haciendo clic enNext
9) Al final puedes optar por hacer una copia de seguridad de sus archivos cifrados. Estas copias de seguridad pueden ayudar si algo sale mal durante el proceso de descifrado.
Esta opción está activada de forma predeterminada, lo que recomendamos. Después de hacer clic Decrypt, comienza el proceso de descifrado. Deja que el descifrador funcione y espere hasta que termine de descifrar todos sus archivos.
Si tiene preguntas o comentarios sobre Avast decryptor, envíe un correo electrónico a decryptors@avast.com
