カスペルスキーラボ、CoinVaultおよびBitcryptorランサムウェアの被害者向けに無料の復号鍵を公開

カスペルスキーがCoinVaultおよびBitcryptorランサムウェアの被害者向けに14,000の復号鍵を公開

カスペルスキーラボは、CoinVaultおよびBitcryptorというランサムウェアのバリエーションの終息を発表し、これらのバリエーションによって暗号化されたファイルを解除するために必要な14,000以上の復号鍵を公開しました。これにより、被害者は無料でファイルを取り戻すチャンスを得ました。

ランサムウェアは、ダウンロード、フィッシングキャンペーン、悪意のあるリンクを通じて広がる特に悪質なタイプのマルウェアです。一度システムが感染すると、ロックスクリーンが表示され、デバイス上のすべてのファイルが暗号化されます。

このサイバーセキュリティ企業は、2014年5月にCoinVaultの攻撃を初めて発見しました。それ以来、感染したコンピュータ上のデータファイルを厳重に暗号化し、暗号鍵のためにビットコインでの支払いを要求するこの攻撃的なランサムウェアは、108か国以上で1,500人以上の被害者を出しています。マルウェア攻撃の影響を大きく受けた国には、オランダ、ドイツ、アメリカ、フランス、イギリスが含まれます。このランサムウェアは、被害者に「無料の復号」を提供し、CoinVaultの著者がどのようにして暗号化されたファイルを解除できるかを説明することが特徴です。

CoinVaultファイル暗号化ランサムウェアプログラムは、2014年11月にカスペルスキーの研究者によって初めて文書化されました。その後、4月にオランダ警察の国家ハイテク犯罪ユニット（NHTCU）が押収したCoinVaultサーバーからいくつかの復号鍵を回収しました。

その襲撃の後、プログラムの著者は休止しましたが、CoinVaultマルウェアキャンペーンはほとんど妨げられることなく続行されました。しかし、最終的に彼らはCoinVaultの第二世代バージョンであるBitcryptorという新しいバージョンを立ち上げました。しかし、今年の9月、NHTCUはオランダの法執行機関がランサムウェア攻撃に関連して18歳と22歳を逮捕したことで打撃を受けました。

警察がサイバー犯罪者のインフラにアクセスした後、カスペルスキーラボの専門家は、CoinVaultのコマンド＆コントロール（C&C）サーバーから残りのCoinVaultおよびBitcryptorの復号鍵をすべて抽出することができました。これらのサーバーには、復号鍵、インストールベクター（IV）、およびプライベートビットコインウォレットが含まれており、noransom.kaspersky.comウェブサイトに公開されました。

CoinVaultをさらに研究するために、カスペルスキーの研究者はこれらのリソースを使用し、分析の結果、ランサムウェアがCFBブロック暗号モードおよび256ビットAESなどを使用していることが明らかになりました。

これらの発見により、セキュリティ企業は今年の4月にオランダにホストされたサーバーから回収した約750の鍵をランサムウェア復号サービスにアップロードすることができました。現在、すべての14,000の復号鍵がカスペルスキーのランサムウェアツールを通じて利用可能です。

CryptoWall 3.0という最も広まっているランサムウェアプログラムの1つを調査したセキュリティ企業の連合は、その著者に約3億2500万ドルを被害者からの恐喝を通じてもたらしました。研究者によると、49のCryptoWall 3.0キャンペーンで少なくとも400,000回の感染試行が行われています。

これらの発見により、セキュリティ企業は今年の4月に700以上の復号鍵を公開することができました。現在、カスペルスキーはすべての14,000の鍵を公開しました。

「オランダ警察の国家ハイテク犯罪ユニット（NHTCU）、オランダ国家検察庁、カスペルスキーラボは、CoinVaultおよびBitcryptorランサムウェアキャンペーンと戦うために協力しています」とカスペルスキーの復号ツールをホストするページには記載されています。「私たちの共同調査の中で、PC上で人質にされているファイルを復号するのに役立つデータを取得しました。現在、CoinvaultおよびBitcryptorの被害者のためにすべてのファイルを自動的に復号する新しい復号アプリケーションを共有できるようになりました。詳細については、このハウツーガイドをご覧ください。このケースは終了と見なしています。ランサムウェアの著者は逮捕され、すべての既存の鍵が私たちのデータベースに追加されました。」

CoinVaultの影響を受けたと思われるユーザーは、ここから直接復号鍵にアクセスできます。