Kaspersky Lab Lança Chaves de Descriptografia Gratuitas Para Vítimas do Ransomware CoinVault e Bitcryptor

14.000 Chaves de Descriptografia Para CoinVault, Bitcryptor Ransomware Lançadas Pela Kaspersky para vítimas de ransomware

A Kaspersky Lab anunciou o fim das variantes de ransomware, CoinVault e Bitcryptor, ao liberar mais de 14.000 chaves de descriptografia necessárias para desbloquear arquivos criptografados por essas variantes, dando assim a chance às vítimas de recuperar seus arquivos gratuitamente.

Ransomware é um tipo particularmente virulento de código malicioso que se espalha através de downloads, campanhas de phishing e links maliciosos. Uma vez que um sistema foi infectado, uma tela de bloqueio aparece e todos os arquivos no dispositivo são criptografados.

A empresa de cibersegurança descobriu pela primeira vez os ataques do CoinVault em maio de 2014. Desde então, esse ransomware agressivo que criptografa fortemente arquivos de dados em computadores infectados e exige pagamento em Bitcoin pelas chaves de criptografia fez mais de 1.500 vítimas em mais de 108 países. Os países que foram severamente afetados devido aos ataques de malware incluem Países Baixos, Alemanha, Estados Unidos, França e Reino Unido. O ransomware também ofereceu caracteristicamente às vítimas um “descriptografar gratuito” para explicar como os autores do CoinVault poderiam de fato desbloquear os arquivos criptografados.

O programa de ransomware que criptografa arquivos CoinVault foi documentado pela primeira vez pelos pesquisadores da Kaspersky em novembro de 2014. Então, em abril, a Unidade Nacional de Crimes de Alta Tecnologia (NHTCU) da polícia holandesa recuperou algumas chaves de descriptografia de um servidor CoinVault apreendido.

Após essa operação, os autores do programa fizeram uma pausa, enquanto a campanha de malware CoinVault prosseguiu em grande parte sem ser desestimulada. No entanto, eles eventualmente lançaram uma nova versão chamada Bitcryptor, uma versão de segunda geração do CoinVault. Mas, em setembro deste ano, a NHTCU sofreu um golpe quando a polícia holandesa prendeu um jovem de 18 anos e um de 22 anos em conexão com os ataques de ransomware.

Depois que a polícia teve acesso à infraestrutura dos cibercriminosos, os especialistas da Kaspersky Lab conseguiram extrair todas as chaves de descriptografia restantes do CoinVault e Bitcryptor dos servidores de comando e controle (C&C) do CoinVault que, entre outras coisas, tinham chaves de descriptografia, Vetores de Instalação (IVs) e carteiras privadas de Bitcoin, e publicá-las no site noransom.kaspersky.com.

Para estudar mais sobre o CoinVault, os pesquisadores da Kaspersky usaram esses recursos, e uma análise revelou que o ransomware utiliza o modo de cifra de bloco CFB, bem como AES de 256 bits, entre outras coisas.

Essas descobertas permitiram que a empresa de segurança carregasse um conjunto de cerca de 750 chaves em seu serviço de descriptografia de ransomware em abril deste ano, que foram recuperadas de servidores hospedados nos Países Baixos. Agora, todas as 14.000 chaves de descriptografia estão disponíveis através da ferramenta de ransomware da Kaspersky.

Uma coalizão de empresas de segurança que investigou um dos programas de ransomware mais prevalentes, CryptoWall 3.0, fez com que seus autores arrecadassem aproximadamente $325 milhões através da extorsão de vítimas. Os pesquisadores afirmam que pelo menos 400.000 tentativas de infecção foram feitas em 49 campanhas do CryptoWall 3.0.

Essas descobertas permitiram que a empresa de segurança publicasse mais de 700 chaves de descriptografia em abril deste ano. Agora a Kaspersky liberou todas as 14.000 chaves.

“A Unidade Nacional de Crimes de Alta Tecnologia (NHTCU) da polícia dos Países Baixos, o Escritório Nacional de Promotores dos Países Baixos e a Kaspersky Lab têm trabalhado juntos para combater as campanhas de ransomware CoinVault e Bitcryptor,” lê-se em uma página que hospeda a ferramenta de descriptografia da Kaspersky. “Durante nossa investigação conjunta, obtivemos dados que podem ajudá-lo a descriptografar os arquivos que estão sendo mantidos como reféns em seu PC. Agora estamos capazes de compartilhar um novo aplicativo de descriptografia que irá descriptografar automaticamente todos os arquivos para as vítimas do Coinvault e Bitcryptor. Para mais informações, consulte este guia de como fazer. Estamos considerando este caso como encerrado. Os autores do ransomware foram presos e todas as chaves existentes foram adicionadas ao nosso banco de dados.”

Usuários que acreditam ter sido afetados pelo CoinVault podem acessar a chave de descriptografia diretamente aqui.