BianLian - это штамм вымогательского ПО, написанный на языке Go и скомпилированный как 64-битный исполняемый файл для Windows. Из-за особенностей языка Go в бинарном файле можно увидеть множество строк, включая подробную информацию о структуре каталогов на компьютере автора:
В образце есть ссылки на библиотеки асимметричной криптографии (RSA и эллиптические кривые), но выкупная программа ничего из этого не делает. Данные файла шифруются с помощью AES-256 в режиме CBC. Длина зашифрованных данных выравнивается до 16 байт, как того требует шифр AES CBC.
После выполнения BianLian ищет все доступные диски (от A: до Z:). На всех найденных дисках он ищет все файлы и шифрует все, чье расширение файла совпадает с одним из 1013 расширений, жестко закодированных в бинарном файле ransomware.
Интересно, что ransomware не шифрует файл с самого начала и не шифрует файл до конца. Вместо этого в двоичном файле жестко закодировано фиксированное смещение файла, с которого начинается шифрование. Смещение отличается для каждого образца, но ни один из известных образцов не шифрует данные с начала файла.
После шифрования данных программа-вымогатель добавляет расширение .bianlian и помещает в каждую папку на компьютере записку с выкупом под названием Look at this instruction.txt.
После завершения шифрования программа-вымогатель удаляет себя.
Indicators of Compromise
SHA256
- 1fd07b8d1728e416f897bef4f1471126f9b18ef108eb952f4b75050da22e8e43
- 3a2f6e614ff030804aa18cb03fcc3bc357f6226786efb4a734cbe2a3a1984b6f
- 3be5aab4031263529fe019d4db19c0c6d3eb448e0250e0cb5a7ab2324eb2224d
- 46d340eaf6b78207e24b6011422f1a5b4a566e493d72365c6a1cace11c36b28b
- a201e2d6851386b10e20fbd6464e861dea75a802451954ebe66502c2301ea0ed
- ae61d655793f94da0c082ce2a60f024373adf55380f78173956c5174edb43d49
- eaf5e26c5e73f3db82cd07ea45e4d244ccb3ec3397ab5263a1a74add7bbcb6e2