Kaspersky Lab Lanza Claves de Desencriptación Gratuitas Para Víctimas de Ransomware CoinVault y Bitcryptor

14,000 claves de desencriptación para CoinVault, ransomware Bitcryptor liberadas por Kaspersky para víctimas de ransomware

Kaspersky Lab anunció el fin de las variantes de ransomware, CoinVault y Bitcryptor al liberar más de 14,000 claves de desencriptación necesarias para desbloquear archivos encriptados por estas variantes, dando así la oportunidad a las víctimas de recuperar sus archivos de forma gratuita.

El ransomware es un tipo de código malicioso particularmente virulento que se propaga a través de descargas, campañas de phishing y enlaces maliciosos. Una vez que un sistema ha sido infectado, aparece una pantalla de bloqueo y todos los archivos en el dispositivo son encriptados.

La firma de ciberseguridad descubrió por primera vez los ataques de CoinVault en mayo de 2014. Desde entonces, este agresivo ransomware que encripta fuertemente los archivos de datos en computadoras infectadas y exige un pago en Bitcoin por las claves de encriptación ha hecho más de 1,500 víctimas en más de 108 países. Los países que han sido golpeados duramente debido a los ataques de malware incluyen los Países Bajos, Alemania, Estados Unidos, Francia y el Reino Unido. El ransomware también ha ofrecido característicamente a las víctimas un “desencriptado gratuito” para explicar cómo los autores de CoinVault podrían desbloquear los archivos encriptados.

El programa de ransomware que encripta archivos CoinVault fue documentado por primera vez por investigadores de Kaspersky en noviembre de 2014. Luego, en abril, la Unidad Nacional de Crimen de Alta Tecnología (NHTCU) de la policía holandesa recuperó algunas claves de desencriptación de un servidor CoinVault incautado.

Después de esa redada, los autores del programa tomaron un descanso, ya que la campaña de malware CoinVault continuó en gran medida sin ser disuadida. Sin embargo, eventualmente lanzaron una nueva versión llamada Bitcryptor, una versión de segunda generación de CoinVault. Pero, en septiembre de este año, la NHTCU sufrió un golpe cuando la policía holandesa arrestó a un joven de 18 años y a otro de 22 años en relación con los ataques de ransomware.

Después de que la policía obtuvo acceso a la infraestructura de los cibercriminales, los expertos de Kaspersky Lab pudieron extraer todas las claves de desencriptación restantes de CoinVault y Bitcryptor de los servidores de comando y control (C&C) de CoinVault que, entre otras cosas, tenían claves de desencriptación, Vectores de Instalación (IVs) y billeteras privadas de Bitcoin, y publicarlas en el sitio web noransom.kaspersky.com.

Para estudiar CoinVault más a fondo, los investigadores de Kaspersky utilizaron estos recursos, y un análisis reveló que el ransomware utiliza el modo de cifrado de bloque CFB así como AES de 256 bits, entre otras cosas.

Estos hallazgos permitieron a la firma de seguridad subir un conjunto de alrededor de 750 claves en su servicio de desencriptación de ransomware en abril de este año que fueron recuperadas de servidores alojados en los Países Bajos. Ahora, todas las 14,000 claves de desencriptación están disponibles a través de la herramienta de ransomware de Kaspersky.

Una coalición de empresas de seguridad que investigó uno de los programas de ransomware más prevalentes, CryptoWall 3.0, ha hecho que sus autores ganen aproximadamente $325 millones a través de la extorsión de víctimas. Los investigadores dicen que se han realizado al menos 400,000 intentos de infección en 49 campañas de CryptoWall 3.0.

Estos hallazgos permitieron a la firma de seguridad publicar más de 700 claves de desencriptación en abril de este año. Ahora Kaspersky ha liberado todas las 14,000 claves.

“La Unidad Nacional de Crimen de Alta Tecnología (NHTCU) de la policía de los Países Bajos, la Oficina Nacional de Fiscales de los Países Bajos y Kaspersky Lab, han estado trabajando juntos para combatir las campañas de ransomware CoinVault y Bitcryptor,” dice una página que alberga la herramienta de desencriptación de Kaspersky. “Durante nuestra investigación conjunta hemos obtenido datos que pueden ayudarle a desencriptar los archivos que están siendo retenidos como rehenes en su PC. Ahora podemos compartir una nueva aplicación de desencriptación que desencriptará automáticamente todos los archivos para las víctimas de Coinvault y Bitcryptor. Para más información, consulte esta guía de cómo hacerlo. Consideramos este caso como cerrado. Los autores del ransomware han sido arrestados y todas las claves existentes han sido añadidas a nuestra base de datos.”

Los usuarios que crean haber sido afectados por CoinVault pueden acceder a la clave de desencriptación directamente aquí.