Kaspersky Lab i holenderska policja kończą koszmar ponad 14 tysięcy ofiar
szkodliwego oprogramowania szyfrującego na całym świecie
To niewątpliwy sukces, choć oczywiście wojna trwa i ataków tego typu jest więcej. Niemniej wielu użytkowników ucieszy ta informacja, iż Kaspersky Lab dodał 14 031 nowych kluczy deszyfrujących do serwisu noransom.kaspersky.com. Zasób ten pozwala odzyskać dane użytkownikom, którzy padli ofiarą szkodliwego oprogramowania szyfrującego CoinVault oraz Bitcryptor, bez płacenia okupu cyberprzestępcom.
Od kwietnia 2015 r. udostępniono łącznie 14 755 kluczy deszyfrujących uzyskanych z serwera cyberprzestępców przez holenderską policję. Dzięki tym kluczom i aplikacji opracowanej przez ekspertów z Kaspersky Lab użytkownicy, których komputery zostały zainfekowane, mogli odblokować swoje cenne dane. We wrześniu bieżącego roku holenderska policja aresztowała dwóch mężczyzn podejrzanych o zaangażowanie w cyberataki z użyciem szkodliwego oprogramowania szyfrującego. Wraz z tym aresztowaniem – oraz uzyskaniem ostatniej porcji kluczy deszyfrujących z serwera cyberprzestępców – sprawa szkodnika CoinVault może zostać wreszcie zamknięta.
Cyberprzestępcy stojący za szkodliwym programem CoinVault próbowali zainfekować dziesiątki tysięcy komputerów na całym świecie. Większość ofiar zlokalizowano w Holandii, Niemczech, Stanach Zjednoczonych, Francji oraz Wielkiej Brytanii. Łącznie zaatakowano użytkowników ze 108 krajów. Przestępcom udało się zablokować dostęp do danych na przynajmniej 1 500 komputerach z systemem Windows, a za odszyfrowanie informacji atakujący żądali zapłacenia okupu w bitcoinach.
O tym, że padliśmy ofiarą ofiarą ataku rzeczonego informuje nas informacja wyświetlana na ekranie komputera oraz oczywiście zmienione rozszerzenia zaszyfrowanych plików, do których tracimy dostęp. Jest tam żądanie kwoty do zapłaty oraz czas w jakim musimy to uczynić.
Pierwsza wersja CoinVaulta została zidentyfikowana przez ekspertów z Kaspersky Lab w maju 2014 r. Firma aktywnie współpracowała z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji podczas prac dochodzeniowych. W trakcie śledztwa holenderska policja uzyskała dostęp do serwerów wykorzystywanych przez cyberprzestępców do przeprowadzania ataków z użyciem szkodliwego programu CoinvVault. Informacje uzyskane z tych zasobów pozwoliły ekspertom z Kaspersky Lab stworzyć serwis noransom.kaspersky.com.
– Historia CoinVaulta dobiega końca – pozostałe ofiary mogą odzyskać swoje dane, a cyberprzestępcy zostali ujęci dzięki współpracy holenderskiej policji, Kaspersky Lab oraz firmy Panda Security. Dochodzenie dotyczące CoinVaulta było unikatowe dzięki uzyskaniu dostępu do wszystkich kluczy deszyfrujących. Dzięki wspólnym wysiłkom byliśmy w stanie zakłócić działanie dobrze zorganizowanej grupy cyberprzestępczej – powiedział Jornt van der Wiel, badacz ds. bezpieczeństwa IT, Kaspersky Lab.
Klucze deszyfrujące wraz ze specjalną aplikacją stworzoną przez Kaspersky Lab są dostępne bezpłatnie na stronie https://noransom.kaspersky.com. Instrukcja obsługi aplikacji znajduje się na stronie http://r.kaspersky.pl/noransom.
Aplikacja w dość automatyczny sposób pozwala odszyfrować dane, jeśli oczywiście zostaną one rozpoznane, jako te, które padły ofiarą wirusa CoinVault. W pierwszej kolejności musimy jednak przeskanować nasz komputer w celu usunięcia wirusa. Firma Kaspersky.Lab udostępnia darmową 30-dniową wersję oprogramowania Internet Security, którą możemy pobrać ze strony producenta.
Grupa CoinVault kilkukrotnie modyfikowała swoje szkodliwe programy, by zwiększyć zasięg oraz liczbę ofiar. Wstępny raport Kaspersky Lab dotyczący tego zagrożenia został opublikowany w listopadzie 2014 r., po wykryciu pierwszej próbki szkodliwego kodu. Działania osób stojących za operacją CoinVault zostały wówczas wstrzymane aż do kwietnia 2015 r., gdy wykryto nową próbkę szkodnika. Tego samego miesiąca Kaspersky Lab wraz z jednostką National High Tech Crime Unit (NHTCU) holenderskiej policji uruchomił stronę noransom.kaspersky.com zawierającą bazę kluczy deszyfrujących oraz aplikację pozwalającą ofiarom szkodnika odzyskać zablokowane dane bez płacenia okupu cyberprzestępcom.
– W kwietniu 2015 r. wykryliśmy nową próbkę CoinVaulta. Co ciekawe, kod zawierał frazy napisane bezbłędnym holenderskim. Jest to dość trudny język, zatem od początku podejrzewaliśmy, że osoby stojące za tymi atakami są Holendrami lub przynajmniej mają silne powiązania z tym krajem i językiem. Przyszłość pokazała, że mieliśmy rację. Wygrana z grupą CoinVault była możliwa dzięki współpracy organów ścigania i firm prywatnych – razem udało nam się zidentyfikować i ująć dwóch podejrzanych – powiedział Jornt van der Wiel, badacz ds. bezpieczeństwa, Kaspersky Lab.
Niedługo po tym z Kaspersky Lab skontaktowali się specjaliści z firmy Panda Security, którzy zidentyfikowali dodatkowe próbki szkodliwego kodu. Badanie przeprowadzone przez Kaspersky Lab wykazało, że próbki te są powiązane z operacją CoinVault. Następnie eksperci z Kaspersky Lab przeprowadzili dalszą analizę wszystkich zgromadzonych szkodliwych programów i przekazali wyniki holenderskiej policji.
– Holenderska policja regularnie współpracuje z firmami prywatnymi. W tym przypadku ważną rolę odegrali specjaliści z Kaspersky Lab, którzy pomogli nam w zidentyfikowaniu i zlokalizowaniu osób stojących za atakami CoinVault. Jest to kolejny dowód na to, że działając razem, możemy jeszcze skuteczniej łapać cyberprzestępców – powiedział Thomas Aling z holenderskiej policji.
W celu zapobiegania infekcjom szkodliwego oprogramowania szyfrującego eksperci z holenderskiej policji i Kaspersky Lab zalecają użytkownikom, aby dbali o regularne uaktualnianie zainstalowanych aplikacji oraz oprogramowania antywirusowego. Dodatkowo użytkownicy powinni tworzyć kopie zapasowe cennych danych i przechowywać je na zewnętrznych nośnikach, które nie są na stałe podłączone do komputera.
Ofiary szkodliwego oprogramowania szyfrującego nie powinny płacić okupu cyberprzestępcom – motywuje to atakujących do dalszej pracy, a dodatkowo zazwyczaj nie prowadzi do odzyskania zablokowanych danych.
Trzeba jednak mieć na uwadze, że ataków tego rodzaju jest więcej i w wielu przypadkach, pewnie w większości, nie uda nam się odzyskać danych. Niestety. Inaczej może wyglądać też obwieszczenie o ataku. Najpierw jesteśmy informowaniu o tym, co się stało z plikami. Jak skutecznie zostały zaszyfrowane, po czym zostajemy odesłani na spersonalizowaną pod kątem konkretnego przypadku stronę, gdzie znajdziemy, specjalny klucz, dokładne instrukcje opłacenia np. kwoty 500$ okupu i oczywiście czas, który jest nam na to dany, po którym kwota okupu zostanie np. podwojona. Strasznie to przebiegłe i wredne działanie. Zaszyfrowaniu ulegają te najcenniejsze pliki, jak dokumenty .txt czy .doc, obrazy .jpg, .tif czy .psd. Nie zabezpieczą nas też przed tym kopie zapasowe, chyba że mamy je zapisane na zewnętrznych dyskach, które w dodatku nie są podłączone do komputera non stop.
Źródło Kaspersky.Lab