BianLian - это разновидность программы-вымогателя, написанная на языке Go и скомпилированная в виде 64-разрядного исполняемого файла Windows. Из-за особенностей языка Go в двоичном коде непосредственно отображается множество строк, включая подробную информацию о структуре каталогов на компьютере автора.
BianLian Ransomware
В образце есть ссылки на библиотеки асимметричной криптографии (RSA и эллиптические кривые), но программа-вымогатель ничего этого не делает. Данные файла шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных выровнена до 16 байт, как того требует шифр AES CBC.
После его выполнения BianLian выполняет поиск по всем доступным дисководам (от A: до Z:). Для всех найденных дисков программа выполняет поиск по всем файлам и шифрует все файлы, расширение которых соответствует одному из 1013 расширений, жестко закодированных в двоичном коде программы-вымогателя.
Интересно, что программа-вымогатель не шифрует файл с самого начала и не шифрует файл до конца. Вместо этого в двоичном файле, из которого выполняется шифрование, жестко задано фиксированное смещение файла. Смещение отличается для каждого образца, но ни один из известных образцов не шифрует данные с начала файла.
После шифрования данных программа-вымогатель добавляет расширение .bianlian и отправляет записку с требованием выкупа под названием Look at this instruction.txt в каждую папку на компьютере.
Когда шифрование завершено, программа-вымогатель удаляет себя, выполнив следующую команду:
cmd /c del <sample_exe_name>Indicators of Compromise
SHA256
- 1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
- 3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f
- 3be5aab4031263529fe019d4db19c0c6d3eb448e0250e0cb5a7ab2324eb2224d
- 46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b
- a201e2d6851386b10e20fbd6464e861dea75a802451954ebe66502c2301ea0ed
- ae61d655793f94da0c082ce2a60f024373adf55380f78173956c5174edb43d49
- eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2