Gijzelingssoftware-slachtoffers krijgen toegang tot decryptiesleutels

Slachtoffers kunnen nu ook het laatste gedeelte van de decryptiesleutels beschikbaar is, hun gecodeerde gegevens herstellen zonder een enkele bitcoin aan losgeld te betalen aan de cybercriminelen.

Sinds april 2015 zijn er in totaal 14.755 sleutels beschikbaar gesteld aan slachtoffers, zodat zij hun bestanden weer kunnen ontgrendelen met behulp van de door beveiligingsexperts van Kaspersky Lab ontwikkelde tool. Het Landelijk Parket van het Nederlandse Openbaar Ministerie haalde de decryptiesleutels van de CoinVault command & control-servers na de arrestatie van de verdachten in september. Kaspersky Lab had eerder al ruim 700 decryptiesleutels beschikbaar gesteld via een speciale database.

Tienduizenden infecties

In september arresteerde de Nederlandse politie twee mannen in Nederland op verdenking van betrokkenheid bij de CoinVault en Bitcryptor ransomware-aanvallen. De cybercriminelen probeerden tienduizenden computers wereldwijd te infecteren. Ze slaagden erin ten minste 1500 Windows-gebaseerde machines te vergrendelen, waarna ze voor het decoderen van de bestanden bitcoins eisten van de slachtoffers. Gebruikers van in totaal 108 landen werden getroffen waarvan de meesten in Nederland, Duitsland, de Verenigde Staten, Frankrijk en het Verenigd Koninkrijk.

Speciale database

Kaspersky Lab ontdekte de eerste versie van CoinVault in mei 2014. Het bedrijf analyseerde daarna de betrokken malware samples en leverde hiermee een bijdrage aan een door de National High Tech Crime Unit (NHTCU) van de Nederlandse politie en het Landelijk Parket uitgevoerd onderzoek. Tijdens het gezamenlijke onderzoek wisten de NHTCU en het Nederlandse OM de hand te leggen op databases afkomstig van de CoinVault command & control servers. Deze servers bevatten initialisatie vectoren (IV's), sleutels en privé bitcoinportefeuilles en hielpen Kaspersky Lab en de NHTCU een speciale database te maken met decryptiesleutels: noransom.kaspersky.com. De applicatie probeert geüploade sleutels automatisch uit, zodat een gebruiker slechts naar de database hoeft te gaan en op de knop 'check' hoeft te klikken om de bestanden weer te ontgrendelen.

Hard werken heeft zich uitbetaald “Het CoinVault-onderzoek is uniek omdat we er in zijn geslaagd om alle sleutels te verkrijgen. Al het harde werk heeft zich uitbetaald, want daarmee konden we het hele businessmodel van de groep cybercriminelen verstoren”, aldus Jornt van der Wiel, Security Researcher van Kaspersky Lab's Global Research & Analysis Team (GReAT).