Nie zapłacili okupu i dobrze na tym wyszli

Koniec koszmaru ponad 14 tysięcy ofiar szkodliwego oprogramowania szyfrującego na całym świecie.

Od kwietnia 2015 r. udostępniono łącznie 14 755 kluczy deszyfrujących uzyskanych z serwera cyberprzestępców przez holenderską policję. Dzięki tym kluczom i aplikacji opracowanej przez ekspertów z Kaspersky Lab użytkownicy, których komputery zostały zainfekowane, mogli odblokować swoje cenne dane. We wrześniu bieżącego roku holenderska policja aresztowała dwóch mężczyzn podejrzanych o zaangażowanie w cyberataki z użyciem szkodliwego oprogramowania szyfrującego. Wraz z tym aresztowaniem – oraz uzyskaniem ostatniej porcji kluczy deszyfrujących z serwera cyberprzestępców – sprawa szkodnika CoinVault może zostać wreszcie zamknięta.

Cyberprzestępcy stojący za szkodliwym programem CoinVault próbowali zainfekować dziesiątki tysięcy komputerów na całym świecie. Większość ofiar zlokalizowano w Holandii, Niemczech, Stanach Zjednoczonych, Francji oraz Wielkiej Brytanii. Łącznie zaatakowano użytkowników ze 108 krajów. Przestępcom udało się zablokować dostęp do danych na przynajmniej 1 500 komputerach z systemem Windows, a za odszyfrowanie informacji atakujący żądali zapłacenia okupu w bitcoinach.

Pierwsza wersja CoinVaulta została zidentyfikowana przez pracowników Kaspersky Lab w maju 2014 r. Firma aktywnie współpracowała z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji podczas prac dochodzeniowych. W trakcie śledztwa holenderska policja uzyskała dostęp do serwerów wykorzystywanych przez cyberprzestępców do przeprowadzania ataków z użyciem szkodliwego programu CoinVault. Informacje uzyskane z tych zasobów pozwoliły ekspertom z Kaspersky Lab stworzyć serwis noransom.kaspersky.com.