14.755 sleutels nu online beschikbaar om bestanden eenvoudig te ontgrendelen
14.755 sleutels nu online beschikbaar om bestanden eenvoudig te ontgrendelen
In september arresteerde de Nederlandse politie twee mannen in Nederland op verdenking van betrokkenheid bij de CoinVault en Bitcryptor ransomware-aanvallen. Met deze arrestaties, en door het feit dat het laatste gedeelte van de decryptiesleutels nu beschikbaar is, is het mogelijk om de zaak over de CoinVault-aanvallen ook voor de slachtoffers te sluiten. Kaspersky Lab heeft nog eens 14.031 decryptiesleutels toegevoegd aan de database noransom.kaspersky.com. Hierdoor kunnen nu alle slachtoffers van de CoinVault en Bitcryptor gijzelingssoftware hun gecodeerde gegevens herstellen zonder een enkele bitcoin aan losgeld te betalen aan de cybercriminelen.
Sinds april 2015 zijn er in totaal 14.755 sleutels beschikbaar gesteld aan slachtoffers, zodat zij hun bestanden weer kunnen ontgrendelen met behulp van de door beveiligingsexperts van Kaspersky Lab ontwikkelde tool. Het Landelijk Parket van het Nederlandse Openbaar Ministerie haalde de decryptiesleutels van de CoinVault command & control-servers na de arrestatie van de verdachten in september.
De CoinVault cybercriminelen probeerden tienduizenden computers wereldwijd te infecteren. Ze slaagden erin ten minste 1.500 Windows-gebaseerde machines te vergrendelen, waarna ze voor het decoderen van de bestanden bitcoins eisten van de slachtoffers. Gebruikers van in totaal 108 landen werden getroffen waarvan de meesten in Nederland, Duitsland, de Verenigde Staten, Frankrijk en het Verenigd Koninkrijk.
Kaspersky Lab ontdekte de eerste versie van CoinVault in mei 2014. Later leverde het bedrijf een grondige analyse van alle betrokken malware samples, als bijdrage aan een door de National High Tech Crime Unit (NHTCU) van de Nederlandse politie en het Landelijk Parket uitgevoerd onderzoek. Tijdens het gezamenlijke onderzoek wisten de NHTCU en het Nederlandse OM de hand te leggen op databases afkomstig van de CoinVault command & control servers. Deze servers bevatten initialisatie vectoren (IV's), sleutels en privé bitcoinportefeuilles en hielpen Kaspersky Lab en de NHTCU een speciale database te maken met decryptiesleutels: noransom.kaspersky.com.
"Het CoinVault-boek kan bijna dicht: de resterende slachtoffers kunnen hun bestanden terughalen en de cybercriminelen zijn opgepakt, dankzij de samenwerking tussen de Nederlandse politie, Kaspersky Lab en Panda Security. Het CoinVault-onderzoek is uniek omdat we er in zijn geslaagd om alle sleutels te verkrijgen. Al het harde werk heeft zich uitbetaald, want daarmee konden we het hele businessmodel van de groep cybercriminelen verstoren.", aldus Jornt van der Wiel, Security Researcher van Kaspersky Lab's Global Research & Analysis Team (GReAT).
De op noransom.kaspersky.com beschikbare applicatie probeert geüploade sleutels automatisch uit, zodat een gebruiker slechts naar noransom.kaspersky.com hoeft te gaan en op de knop 'Check' hoeft te klikken om de bestanden weer te ontgrendelen.