Совместными усилиями полиции Нидерландов и “Лаборатории Касперского” удалось справиться со всеми последствиями вредоносных кампаний CoinVault и BitCryptor.

Расследование Национального подразделения высокотехнологичных преступлений полиции Нидерландов привело правоохранителей к командному серверу CoinVault. Основываясь на этих данных, специалисты “Лаборатории” смогли составить полную базу ключей для расшифровки файлов пострадавших от вымогательства пользователей. В базе содержится 14 031 ключ для машин, заблокированных CoinVault и BitCryptor, и теперь каждая жертва может получить доступ к зашифрованным данным без выкупа. Бесплатный доступ к ключам можно получить на noransom.kaspersky.com.

В мае 2014 года был обнаружен первый образец шифровальщика, но затем CoinVault исчез из вида более чем на год, после чего появился под новой личиной. Создатели зловреда поработали над тем, чтобы осложнить анализ кода исследователями: например, код троянца зашифрован и после расшифровки исполняется “на лету”, без записи на диск, что помогает CoinVault избежать обнаружения. Также CoinVault проверяет окружение на виртуализированность и на наличие инструментов анализа трафика, и даже имя машины не должно быть “MALTEST”, иначе исполнение зловреда будет остановлено, а вредоносная начинка будет спрятана.

Спустя некоторое время после появления второй инкарнации CoinVault “Лаборатория” открыла жертвам доступ к базе ключей для дешифровки.

Масштабная вымогательская кампания охватила десятки тысяч компьютеров в 108 странах, среди которых в наибольшей степени пострадали пользователи стран Западной Европы: Нидерландов, Франции, Великобритании, Германии и США. Злоумышленники требовали выкуп в биткойнах (в денежном эквиваленте сумма выкупа могла превышать $200) в обмен на ключ для расшифровки файлов.

После произведенных в прошедшем сентябре силами полиции Нидерландов арестов и получения контроля над командным сервером, содержащим ключи, векторы инициализации и биткойн-кошельки, пользователям можно больше не беспокоиться: CoinVault их больше не потревожит, и они смогут вновь воспользоваться своими файлами.

“Благодаря нашей помощи и помощи компании Panda Security полиция Нидерландов смогла найти и арестовать преступников. Это огромная победа, ведь нам удалось раздобыть ключи для расшифровки файлов и остановить целую преступную бизнес-модель”, — заявил Сергей Ложкин, антивирусный эксперт “Лаборатории Касперского”.

Категории: Вредоносные программы, Главное