BianLian ランサムウェアを削除する方法

BianLian は、2022 年初頭から活動が開始されているマルウェア感染で、身代金が支払われるまでデータを暗号化し、ファイルをロックします (ランサムウェア)。しかし、最近、BianLian ハッカーグループは、その戦術を恐喝に変更しました。アバスト、BianLian ランサムウェアの復号化ツールをリリース。この戦術は二重恐喝として知られています。BianLian ランサムウェア開発者は、銀行、製造業者、保険会社、教育、医療など、さまざまな業界の企業をターゲットにしています。彼らはほとんどの英語圏の国をターゲットにしており、いかなる国民国家や議題とも提携しているとは主張していません。実際には、彼らは政治的動機ではなく、金銭的な動機があるようです。データを暗号化した後、ファイルの名前を変更して .bianlian ファイル拡張子を追加し、「この指示を見てください.txt」という名前の身代金メモをデスクトップにドロップします。

BianLian はランサムウェアで、被害者のファイルを暗号化してロックし、復号キーと引き換えに身代金を要求するマルウェアの一種です。これは、被害者のファイルを暗号化するクロスプラットフォームのランサムウェアであり、二重恐喝戦術とも連携し、身代金が支払われない場合はデータをダークウェブに漏洩すると脅迫します。クロスプラットフォームのランサムウェアとして、BianLian は異なるオペレーティングシステムや環境にアクセスして動作することができます。

BianLian ランサムウェアについて私たちが知っていることすべて

確認済みの名前

ビアンリアンウイルス

脅威の種類

ランサムウェア
クリプトウイルス
ファイルロッカー

暗号化されたファイル拡張子

.ビアンリアン

身代金を要求するメッセージ

この説明書.txt を見てください

利用可能な無料の復号化ツールはありますか?

もっと詳しく知る：Mallox ランサムウェア: 削除および防止する方法

はい、BianLian の復号キーは次のとおりです。アバスト

復号化ツールは機能しますか?はい、アバストの無料 BianLian 復号化ツールは、暗号化されたファイルのロックを解除するために機能します。復号キーが有効であるため、攻撃者は作戦を変更して二重恐喝に転じました。検出名

アバストWin32:Dh-A [時間]
エムシソフトTrojan.GenericKD.61254969 (B)
カスペルスキーTrojan-PSW.Win32.Stealer.aosa
マルウェアバイトランサム・ビアンリアン
マイクロソフト身代金:Win64/Bianlian!MSR
ソフォスマル/ジェネリック-S

症状

コンピュータに保存されているファイルを開けません
新しいファイル拡張子
デスクトップに身代金要求メッセージが表示される
ファイル名がランダムな文字で変更される

配布方法

感染した電子メールの添付ファイル (フィッシングメール)
Torrent Web サイト (感染したリンクまたはファイル)
悪意のある広告 (マルバタイジング)

結果

ロックされたファイル
盗まれたパスワード
データ侵害

防止

ウイルス対策とマルウェア対策
更新されたソフトウェア
アップデートされたオペレーティングシステム (OS)
ファイアウォール
不明な送信元からのメールの添付ファイルを開かないでください
不審な Web サイトからファイルをダウンロードしないでください
安全であることが確認できない限り、広告をクリックしないでください
信頼できるソースからの Web サイトのみにアクセスする

BianLian はどのようにしてコンピュータに感染したのか

BianLian ランサムウェアの主な感染方法は次のとおりです。ProxyShellの脆弱性。侵入すると、BianLian はネットワークプロファイリングと横方向の移動に Living Off the Land (LoL) テクニックを使用します。

BianLian 暗号化と身代金メモ

BianLian 開発者は、Go プログラミング言語 (別名 Golang) を使用してランサムウェアを構築しました。デスクトップに身代金メモが追加され、そこにサイバー犯罪者が身代金を支払わない限りデータを漏洩すると脅迫します。身代金メモの例:

ネットワークシステムが攻撃され、暗号化されました。データを復元するには、お問い合わせください。ファイル構造を変更しないでください。ファイルには一切触れず、自分で回復しようとしないでください。ファイルが完全に失われる可能性があります。

私たちに連絡するには、「tox」メッセンジャーをダウンロードする必要があります: hxxps://qtox.github.io/

手順を取得するには、次の ID を持つユーザーを追加します。

A4B3B0845DA242A64BF17E0DB4278EDF 85855739667D3E2AE8B89D5439015F07E81D12D767FC

別の方法: [email protected]

あなたのID: –

攻撃に先立って、当社がお客様のネットワークから財務ファイル、顧客ファイル、ビジネスファイル、郵便ファイル、技術ファイル、個人ファイルなどのデータをダウンロードしていたことを知っておいてください。

10 日以内に、この情報は当社のサイト hxxp://bianlianlbc5an4kgnay3opdemgcryg2kpfcbgczopmm3dnbz3uaunad.onion に掲載され、クライアント、パートナー、競合他社、通信社にリンクが送信されます。これは、財務上、ビジネス上、評判上の損失の可能性など、会社に悪影響を及ぼす可能性があります。

BianLian ランサムウェアの仕組み

BianLian は、Windows セーフモードでサーバーを起動し、システムにインストールされているセキュリティソリューションによる検出を回避しながら、ファイル暗号化マルウェアを実行します。また、スナップショットの削除、バックアップの削除、Windows リモート管理 (WinRM) および PowerShell スクリプトを介した Golang 暗号化モジュールの実行も行います。BianLian は横方向の移動に熟練しているため、二重恐喝のためのデータを収集できます。データを暗号化して身代金メモを投下した後、ハッカーは被害者が要求を支払うまで 10 日間の猶予を与え、さもなければデータを漏洩します。

BianLian ランサムウェア攻撃を阻止する

ランサムウェア攻撃を防ぐことは、攻撃から回復するよりも簡単かつ低コストです。 BianLian ランサムウェア攻撃を防ぐいくつかの方法についてはすでに説明しました。ここでは、データとビジネスを安全に保つために行うべきことの完全なリストを示します。

1. 強力なパスワードを使用する

各アカウントには常に強力で一意のパスワードを使用し、必要な人々とのみ共有してください。たとえば、従業員が仕事に Web サイトのアカウントやソフトウェアを必要としない場合、それらにアクセスする必要はありません。これにより、許可された担当者のみが各企業アカウントにアクセスできることが保証されます。

2. 多要素認証を適用する

2 要素認証または生体認証ロック解除を使用して、許可されたユーザーのみがフォルダー、デバイス、またはアカウントにアクセスできるようにすることができます。

3. 古い未使用のユーザーアカウントを消去する

使用されていないアカウントは、ハッカーが悪用できる脆弱性です。未使用のアカウントや過去の従業員が使用していたアカウントを非アクティブ化して閉鎖します。

4. ソフトウェアを常に最新の状態に保つ

前述したように、古いソフトウェアは弱点です。新しいアップデートにより、BianLian などの新しいタイプのマルウェアに対する保護が構築される可能性があるためです。

5. 定期的なバックアップのスケジュールを設定する

データのコピーを少なくとも 3 つ保持し、少なくとも 1 つをオフラインおよびオフサイトに保存します。これにより、自然災害や人為的災害 (ランサムウェアなど) に見舞われた場合でも、データが常に安全であることが保証されます。

定期的なバックアップにより、ダウンタイムを防止し、機密データを決して失わないようにすることができます。

6. サイバーセキュリティソリューションを使用する

ビジネスのセキュリティを保証する IT チームを雇うことも、サイバーセキュリティサービスを雇うこともできます。いずれの方法でも、バックドア、エクスプロイトキット、YouTube ソフトウェアなど、ネットワーク内の脆弱性を探す必要があります。

7. 回復計画を用意しておく

データ復旧計画は、災害が発生した場合に何をすべきかを示すガイドとして機能する文書です。これにより、ビジネスをより迅速かつ安全に復元できます。詳細なガイドでデータ復旧計画を作成する方法をご覧ください。

BianLian 攻撃から回復する方法

BianLian 攻撃から回復するための最初のステップは、インターネットから切断し、接続されているデバイスをすべて削除して、感染したコンピュータを隔離することです。その後、地方自治体に連絡する必要があります。米国居住者および企業の場合は、地元のFBI現地事務所そしてインターネット犯罪苦情センター (IC3)ランサムウェア攻撃を報告するには、次のようなランサムウェア攻撃に関するあらゆる情報を収集する必要があります。

身代金メモのスクリーンショット
BianLian アクターとのコミュニケーション (存在する場合)
暗号化されたファイルのサンプル

ランサムウェアを削除してはならず、攻撃のあらゆる証拠を保管してください。これはデジタルフォレンジックにとって重要であり、専門家がハッカーグループを追跡して特定できるようになります。当局が攻撃を調査し、責任者を見つけることができるように、感染したシステム上のデータを使用しています。サイバー攻撃の捜査は他の犯罪捜査と変わりません。攻撃者を見つけるには証拠が必要です。

デバイスを隔離して当局に連絡した後、次の手順に従ってデータを取得する必要があります。

1. インシデント対応担当者に連絡します

サイバーインシデント対応は、サイバーセキュリティインシデントに対応し、管理するプロセスです。インシデント対応リテイナーは、組織がサイバーセキュリティインシデントに関して外部の支援を受けることを可能にするサイバーセキュリティプロバイダーとのサービス契約です。これは、組織にセキュリティパートナーを通じて体系化された専門知識とサポートを提供し、サイバーインシデントが発生した場合に迅速かつ効果的に対応できるようにします。インシデントレスポンスリテイナーは、サイバーセキュリティインシデントの前後に専門家によるサポートを提供し、組織に安心感を提供します。インシデント対応リテイナーの具体的な性質と構造は、プロバイダーと組織の要件によって異なります。優れたインシデント対応リテイナーは、堅牢でありながら柔軟性があり、組織の長期的なセキュリティ体制を強化する実証済みのサービスを提供する必要があります。

2. ランサムウェア感染を特定する

ファイル拡張子によってマシンに感染したランサムウェアを確認することもできます (ランサムウェアによっては、ファイル拡張子を名前として使用する場合もあります)。または、それが身代金メモに記載されます。この情報を使用して、公開復号キーを探すことができます。

BianLian には無料の復号化ツールがあるので、それを使用してファイルを復元できます。無料の復号化ツールをダウンロードするここ.

3. ランサムウェアを削除し、エクスプロイトキットを排除する

データを回復する前に、デバイスがランサムウェアに感染していないこと、および攻撃者がエクスプロイトキットやその他の脆弱性を利用して新たな攻撃を行うことができないことを保証する必要があります。ただし、身代金を支払う必要があります。キーを入手できるか、それが機能するかどうかは保証されません。さらに、犯罪活動やテロリズムに資金を提供するリスクもあります。これらの理由により、身代金を支払わないでください。代わりに、地方自治体に連絡し、データの復元とコンピューターまたはビジネスネットワークからの BianLian ランサムウェアの削除に取り組んでください。ランサムウェア削除サービスは、ランサムウェアを削除し、調査のためのフォレンジック文書を作成し、脆弱性を排除し、データを回復できます。

4. バックアップを使用してデータを復元する

バックアップはデータを回復する最も効率的な方法です。データ使用量に応じて、毎日または毎週のバックアップを必ず取ってください。

5. ランサムウェア回復サービスに連絡する

バックアップがない場合、またはランサムウェアの削除や脆弱性の排除に支援が必要な場合は、ランサムウェアデータ回復サービスに連絡してください。SalvageData の専門家がファイルを安全に復元し、BianLian ランサムウェアがネットワークを再度攻撃しないことを保証します。緊急復旧サービスについては 24 時間 365 日体制で当社の専門家にお問い合わせいただくか、お近くの復旧センターを探してください。