Kaspersky Lab Rilascia Chiavi di Decrittazione Gratuite per le Vittime di CoinVault e Bitcryptor Ransomware

14.000 Chiavi di Decrittazione per CoinVault, Bitcryptor Ransomware Rilasciate da Kaspersky per le Vittime di Ransomware

Kaspersky Lab ha annunciato la fine delle varianti di ransomware, CoinVault e Bitcryptor, rilasciando oltre 14.000 chiavi di decrittazione necessarie per sbloccare i file crittografati da queste varianti, dando così la possibilità alle vittime di recuperare i propri file gratuitamente.

Il ransomware è un tipo di codice malevolo particolarmente virulento che si diffonde attraverso download, campagne di phishing e link malevoli. Una volta che un sistema è stato infettato, appare una schermata di blocco e tutti i file sul dispositivo vengono crittografati.

La società di cyber-sicurezza ha scoperto per la prima volta gli attacchi di CoinVault nel maggio 2014. Da allora, questo aggressivo ransomware che crittografa pesantemente i file di dati sui computer infetti e richiede un pagamento in Bitcoin per le chiavi di crittografia ha fatto oltre 1.500 vittime in più di 108 paesi. I paesi che sono stati colpiti duramente a causa degli attacchi malware includono Paesi Bassi, Germania, Stati Uniti, Francia e Regno Unito. Il ransomware ha anche caratteristicamente offerto alle vittime un “decrittazione gratuita” per spiegare come gli autori di CoinVault potessero effettivamente sbloccare i file crittografati.

Il programma di ransomware che crittografa i file CoinVault è stato documentato per la prima volta dai ricercatori di Kaspersky nel novembre 2014. Poi, ad aprile, l’Unità Nazionale per la Criminalità High Tech (NHTCU) della polizia olandese ha recuperato alcune chiavi di decrittazione da un server CoinVault sequestrato.

Dopo quel raid, gli autori del programma hanno preso una pausa, poiché la campagna malware di CoinVault è proseguita in gran parte senza essere ostacolata. Tuttavia, hanno infine lanciato una nuova versione chiamata Bitcryptor, una versione di seconda generazione di CoinVault. Ma, a settembre di quest’anno, la NHTCU ha subito un colpo quando le forze dell’ordine olandesi hanno arrestato un 18enne e un 22enne in relazione agli attacchi ransomware.

Dopo che la polizia ha ottenuto accesso all’infrastruttura dei criminali informatici, gli esperti di Kaspersky Lab sono stati in grado di estrarre tutte le rimanenti chiavi di decrittazione di CoinVault e Bitcryptor dai server di comando e controllo (C&C) di CoinVault che, tra le altre cose, contenevano chiavi di decrittazione, Vettori di Installazione (IV) e portafogli Bitcoin privati, e pubblicarle sul sito web noransom.kaspersky.com.

Per studiare ulteriormente CoinVault, i ricercatori di Kaspersky hanno utilizzato queste risorse, e un’analisi ha rivelato che il ransomware utilizza la modalità di cifratura a blocchi CFB così come AES a 256 bit tra le altre cose.

Questi risultati hanno consentito alla società di sicurezza di caricare un insieme di circa 750 chiavi nel suo servizio di decrittazione ransomware nell’aprile di quest’anno, recuperate da server ospitati nei Paesi Bassi. Ora, tutte le 14.000 chiavi di decrittazione sono disponibili tramite lo strumento ransomware di Kaspersky.

Una coalizione di aziende di sicurezza che ha indagato su uno dei programmi di ransomware più diffusi, CryptoWall 3.0, ha fatto guadagnare ai suoi autori circa 325 milioni di dollari estorcendo le vittime. I ricercatori affermano che sono stati effettuati almeno 400.000 tentativi di infezione in 49 campagne di CryptoWall 3.0.

Questi risultati hanno consentito alla società di sicurezza di pubblicare più di 700 chiavi di decrittazione nell’aprile di quest’anno. Ora Kaspersky ha rilasciato tutte le 14.000 chiavi.

“L’Unità Nazionale per la Criminalità High Tech (NHTCU) della polizia dei Paesi Bassi, l’Ufficio Nazionale dei Pubblici Ministeri dei Paesi Bassi e Kaspersky Lab, hanno lavorato insieme per combattere le campagne di ransomware CoinVault e Bitcryptor,” si legge in una pagina che ospita lo strumento di decrittazione di Kaspersky. “Durante la nostra indagine congiunta abbiamo ottenuto dati che possono aiutarti a decrittare i file tenuti in ostaggio sul tuo PC. Siamo ora in grado di condividere una nuova applicazione di decrittazione che decritterà automaticamente tutti i file per le vittime di Coinvault e Bitcryptor. Per ulteriori informazioni, consulta questa guida pratica. Consideriamo questo caso chiuso. Gli autori del ransomware sono stati arrestati e tutte le chiavi esistenti sono state aggiunte al nostro database.”

Gli utenti che credono di essere stati colpiti da CoinVault possono accedere direttamente alla chiave di decrittazione qui.