Kaspersky Lab veröffentlicht kostenlose Entschlüsselungsschlüssel für Opfer von CoinVault und Bitcryptor Ransomware

14.000 Entschlüsselungsschlüssel für CoinVault, Bitcryptor Ransomware von Kaspersky für Ransomware-Opfer veröffentlicht

Kaspersky Lab kündigte das Ende der Ransomware-Varianten CoinVault und Bitcryptor an, indem über 14.000 Entschlüsselungsschlüssel veröffentlicht wurden, die erforderlich sind, um Dateien zu entsperren, die von diesen Varianten verschlüsselt wurden, und den Opfern somit die Möglichkeit geben, ihre Dateien kostenlos zurückzubekommen.

Ransomware ist eine besonders virulente Art von bösartigem Code, die sich durch Downloads, Phishing-Kampagnen und bösartige Links verbreitet. Sobald ein System infiziert ist, erscheint ein Sperrbildschirm und alle Dateien auf dem Gerät werden verschlüsselt.

Das Cyber-Sicherheitsunternehmen entdeckte die CoinVault-Angriffe erstmals im Mai 2014. Seitdem hat diese aggressive Ransomware, die Daten auf infizierten Computern stark verschlüsselt und eine Zahlung in Bitcoin für die Entschlüsselungsschlüssel verlangt, über 1.500 Opfer in mehr als 108 Ländern gemacht. Die Länder, die aufgrund der Malware-Angriffe stark betroffen sind, umfassen die Niederlande, Deutschland, die Vereinigten Staaten, Frankreich und das Vereinigte Königreich. Die Ransomware hat den Opfern auch typischerweise eine „kostenlose Entschlüsselung“ angeboten, um zu erklären, wie die Autoren von CoinVault tatsächlich die verschlüsselten Dateien entsperren konnten.

Das CoinVault-Datei-verschlüsselnde Ransomware-Programm wurde erstmals von Kaspersky-Forschern im November 2014 dokumentiert. Dann, im April, stellte die National High Tech Crime Unit (NHTCU) der niederländischen Polizei einige Entschlüsselungsschlüssel von einem beschlagnahmten CoinVault-Server wieder her.

Nach diesem Überfall machten die Autoren des Programms eine Pause, da die CoinVault-Malware-Kampagne weitgehend unbeeinträchtigt fortschritt. Schließlich starteten sie jedoch eine neue Version namens Bitcryptor, eine zweite Generation von CoinVault. Doch im September dieses Jahres erlitt die NHTCU einen Rückschlag, als die niederländische Strafverfolgung einen 18-Jährigen und einen 22-Jährigen im Zusammenhang mit den Ransomware-Angriffen festnahm.

Nachdem die Polizei Zugang zur Infrastruktur der Cyberkriminellen erhalten hatte, konnten Kaspersky Lab-Experten alle verbleibenden CoinVault- und Bitcryptor-Entschlüsselungsschlüssel von den Command-and-Control (C&C)-Servern von CoinVault extrahieren, die unter anderem Entschlüsselungsschlüssel, Installationsvektoren (IVs) und private Bitcoin-Wallets enthielten, und sie auf der Website noransom.kaspersky.com veröffentlichen.

Um CoinVault weiter zu untersuchen, verwendeten Kaspersky-Forscher diese Ressourcen, und eine Analyse ergab, dass die Ransomware den CFB-Blockchiffre-Modus sowie 256-Bit AES unter anderem verwendet.

Diese Erkenntnisse ermöglichten es dem Sicherheitsunternehmen, im April dieses Jahres ein Set von etwa 750 Schlüsseln in seinen Ransomware-Entschlüsselungsdienst hochzuladen, die von Servern in den Niederlanden wiederhergestellt wurden. Jetzt sind alle 14.000 Entschlüsselungsschlüssel über das Ransomware-Tool von Kaspersky verfügbar.

Eine Koalition von Sicherheitsunternehmen, die eines der am weitesten verbreiteten Ransomware-Programme, CryptoWall 3.0, untersucht hat, hat seinen Autoren etwa 325 Millionen Dollar durch die Erpressung von Opfern eingebracht. Forscher berichten, dass mindestens 400.000 Infektionsversuche in 49 CryptoWall 3.0-Kampagnen unternommen wurden.

Diese Erkenntnisse ermöglichten es dem Sicherheitsunternehmen, im April dieses Jahres mehr als 700 Entschlüsselungsschlüssel zu veröffentlichen. Jetzt hat Kaspersky alle 14.000 Schlüssel veröffentlicht.

„Die National High Tech Crime Unit (NHTCU) der niederländischen Polizei, die niederländische Staatsanwaltschaft und Kaspersky Lab haben zusammengearbeitet, um die CoinVault- und Bitcryptor-Ransomware-Kampagnen zu bekämpfen“, heißt es auf einer Seite, die Kasperskys Entschlüsselungstool hostet. „Während unserer gemeinsamen Untersuchung haben wir Daten erhalten, die Ihnen helfen können, die auf Ihrem PC festgehaltenen Dateien zu entschlüsseln. Wir sind jetzt in der Lage, eine neue Entschlüsselungsanwendung zu teilen, die automatisch alle Dateien für CoinVault- und Bitcryptor-Opfer entschlüsseln wird. Für weitere Informationen siehe dieses Anleitung. Wir betrachten diesen Fall als abgeschlossen. Die Ransomware-Autoren sind verhaftet worden und alle vorhandenen Schlüssel wurden in unsere Datenbank aufgenommen.“

Benutzer, die glauben, von CoinVault betroffen zu sein, können den Entschlüsselungsschlüssel direkt hier abrufen.