Kaspersky oferă recuperarea gratuită a fişierelor criptate de ransomware-ul CoinVault

Una dintre cele mai distructive forme de malware, viruşii din categoria ransomware sunt răspândiţi cu uşurinţă prin mesaje email infectate şi cu ajutorul website-urilor compromise de hackeri. Cu mici variaţii, modul de operare şi scopul final este practic acelaşi: sechestrarea cât mai multor fişiere în spatele unui algoritm de criptare şi constrângerea victimei la plata unei sume de bani pentru recuperarea acestora. CoinVault intră în această categorie de malware, fiind printre puţinele forme de ransomware pentru care producătorii antivirus au găsit o soluţie pentru recuperarea gratuită a fişierelor criptate.

Acţionând în colaborare cu National High Tech Crime Unit (NHTCU), o echipă specializată a poliţiei din Olanda, Kaspersky Labs a obţinut şi publicat gratuit cheile de criptare folosite pentru sechestrarea fişierelor de pe mii de PC-uri. Formă sofisticată de ransomware, CoinVault acţiona prin criptarea fişierelor de pe hard disk folosind o cheie de criptare AES pe 256 biţi, generată automat şi unică pentru fiecare PC infectat. Odată criptate, fişierele originale erau şterse de pe hard disk, iar unica copie a cheii necesare pentru decriptare era încărcată pe un server aflat în posesia atacatorilor. Pentru recuperarea fişierelor, utilizatorii erau încurajaţi să plătească o taxă de recuperare folosind moneda virtuală Bitcoin, costul pornind de la câteva sute de euro dacă plata era efectuată imediat şi ajungând la mii de euro dacă cronometrul afişat de program era lăsat să ajungă la zero.

Comparat altor forme de ransomware, CoinVault se făcea remarcat prin absenţa mesajelor ameninţătoare sau încercări de a masca faptul că eşti pe cale să plăteşti o sumă de bani celor care ţi-au criptat fişierele stocate în propriul calculator. În schimb, abordarea CoinVault este asemănătoare unei afaceri legitime, atacatorii furnizând până şi o adresă email cu titlul  “help or support” prin care victimele pot cere asistenţă pentru efectuarea plăţii.

Ajunse în posesia celor de la Kaspersky în urma unei operaţiuni mai ample pentru neutralizarea reţelei de tip botnet Simba, cheile necesare pentru decriptarea fişierelor au fost ataşate unui utilitar pentru decriptare, pus la dispoziţie pentru download în mod gratuit. Simultan, autorităţile olandeze au intrat şi în posesia portofelului Bitcoin, conţinând plăţile efectuate până acum de victimele CoinVault, respectiv alte informaţii care ar putea ajuta restituirea sumelor plătite. Între timp, Kaspersky a actualizat rutinele de detecţie antivirus pentru a bloca infectările cu ransomware-ul CoinVault înainte ca acesta să poată face stricăciuni. Din păcate, CoinVault nu este singura formă de ransomware aflată în circulaţie, măsuri suplimentare de prevenţie fiind necesare pentru reducerea riscului de infectare.