Лаборатория Касперского выпустила бесплатные ключи для расшифровки для жертв программ-вымогателей CoinVault и Bitcryptor

14,000 ключей для расшифровки для программ-вымогателей CoinVault и Bitcryptor, выпущенные Касперским для жертв программ-вымогателей

Лаборатория Касперского объявила о завершении работы вариантов программ-вымогателей CoinVault и Bitcryptor, выпустив более 14,000 ключей для расшифровки, необходимых для разблокировки файлов, зашифрованных этими вариантами, тем самым предоставив жертвам возможность вернуть свои файлы бесплатно.

Программы-вымогатели представляют собой особенно опасный тип вредоносного кода, который распространяется через загрузки, фишинговые кампании и вредоносные ссылки. После заражения системы появляется экран блокировки, и все файлы на устройстве шифруются.

Кибербезопасная компания впервые обнаружила атаки CoinVault в мае 2014 года. С тех пор этот агрессивный программ-вымогатель, который сильно шифрует данные на зараженных компьютерах и требует оплату в биткойнах за ключи шифрования, стал причиной более чем 1,500 жертв в более чем 108 странах. Страны, которые пострадали больше всего от атак вредоносного ПО, включают Нидерланды, Германию, Соединенные Штаты, Францию и Великобританию. Программа-вымогатель также характерно предлагала жертвам «бесплатную расшифровку», чтобы объяснить, как авторы CoinVault действительно могли разблокировать зашифрованные файлы.

Программа-вымогатель CoinVault была впервые задокументирована исследователями Касперского в ноябре 2014 года. Затем, в апреле, Национальное управление по борьбе с высокими технологиями (NHTCU) полиции Нидерландов восстановило некоторые ключи для расшифровки с захваченного сервера CoinVault.

После этого рейда авторы программы сделали паузу, так как кампания вредоносного ПО CoinVault продолжалась в основном без помех. Однако они в конечном итоге запустили новую версию под названием Bitcryptor, второе поколение CoinVault. Но в сентябре этого года NHTCU понесла удар, когда нидерландские правоохранительные органы арестовали 18-летнего и 22-летнего в связи с атаками программ-вымогателей.

После того как полиция получила доступ к инфраструктуре киберпреступников, эксперты Лаборатории Касперского смогли извлечь все оставшиеся ключи для расшифровки CoinVault и Bitcryptor с серверов командного управления (C&C) CoinVault, которые, среди прочего, содержали ключи для расшифровки, векторы установки (IV) и частные биткойн-кошельки, и опубликовать их на сайте noransom.kaspersky.com.

Чтобы дальше изучить CoinVault, исследователи Касперского использовали эти ресурсы, и анализ показал, что программа-вымогатель использует режим блочного шифрования CFB, а также 256-битный AES среди прочего.

Эти выводы позволили компании безопасности загрузить набор из около 750 ключей в свою службу расшифровки программ-вымогателей в апреле этого года, которые были восстановлены с серверов, размещенных в Нидерландах. Теперь все 14,000 ключей для расшифровки доступны через инструмент программ-вымогателей Касперского.

Коалиция компаний по безопасности, которая исследовала одну из самых распространенных программ-вымогателей, CryptoWall 3.0, заработала для ее авторов примерно 325 миллионов долларов, вымогая деньги у жертв. Исследователи утверждают, что было совершено как минимум 400,000 попыток заражения в рамках 49 кампаний CryptoWall 3.0.

Эти выводы позволили компании безопасности опубликовать более 700 ключей для расшифровки в апреле этого года. Теперь Касперский выпустил все 14,000 ключей.

«Национальное управление по борьбе с высокими технологиями (NHTCU) полиции Нидерландов, Национальная прокуратура Нидерландов и Лаборатория Касперского работали вместе, чтобы бороться с кампаниями программ-вымогателей CoinVault и Bitcryptor», - говорится на странице, которая содержит инструмент расшифровки Касперского. «В ходе нашего совместного расследования мы получили данные, которые могут помочь вам расшифровать файлы, удерживаемые в заложниках на вашем ПК. Мы теперь можем поделиться новым приложением для расшифровки, которое автоматически расшифрует все файлы для жертв Coinvault и Bitcryptor. Для получения дополнительной информации, пожалуйста, смотрите это руководство. Мы считаем это дело закрытым. Авторы программ-вымогателей арестованы, и все существующие ключи были добавлены в нашу базу данных.»

Пользователи, которые считают, что они пострадали от CoinVault, могут получить доступ к ключу для расшифровки прямо здесь.