В довольно уже далеком 2015 году «Лаборатория Касперского» помогла киберполиции Нидерландов поймать создателей одного из первых зловредов-шифровальщиков — Coinvault. С дешифратора для него и начался портал NoRansom, где мы выкладываем утилиты для восстановления файлов после атак разнообразных шифровальщиков. Создателей CoinVault поймали довольно давно, а на днях состоялось первое слушание суда, на котором присутствовал и наш эксперт Йорнт ван дер Виль (Jornt van der Wiel).
Шифровальщик Coinvault бесчинствовал в 2014-2015 годах в десятках стран по всему миру. Число его жертв, по подсчетам наших экспертов, составляет более десяти тысяч человек. За всем этим стоят два брата — голландцы 21 и 25 лет, разработавшие и распространявшие троян. С каждой жертвы они требовали по 1 биткойну, курс которого в то время составлял около 200 евро. В результате им удалось собрать порядка 20 тысяч евро на двоих.
Coinvault примечателен тем, что в нем в дополнение к собственно шифрованию появились другие функции, которые мы и сегодня видим в троянах-вымогателях. Например, жертве дают возможность бесплатно расшифровать один файл. Это на руку преступникам — когда понимаешь, что от возвращения твоей информации тебя отделяет только один клик, соблазн заплатить вымогателям становится сильнее. Висящий на экране таймер, еще одна психологическая находка создателей Coinvault, неумолимо отсчитывает время до увеличения выкупа.
Голландский след в коде Coinvault
Мы изучили и подробно описали устройство Coinvault в конце 2014 года. Авторы зловреда приложили немало сил, чтобы скрыть его от защитных решений и затруднить анализ. Вымогатель умеет определять, например, не пытаются ли его запустить в «песочнице» — и в этом случае ничего не делать, а его код довольно тщательно обфусцирован.
Впрочем, нашим экспертам удалось добраться до исходного кода и найти в нем зацепку, которая в итоге помогла поймать преступников, — несколько комментариев на голландском языке. Он не так уж популярен среди вирусописателей, поэтому с большой уверенностью можно было предположить, что зловред родом из Нидерландов.
Мы передали информацию голландским киберполицейским, и через несколько месяцев они смогли отчитаться об успешной поимке организаторов кампании. Также, благодаря сотрудничеству с полицией, нам удалось получить ключи с управляющего сервера и сделать утилиту для расшифровки данных.
Явление третье: те же и Фемида
Полиция собрала почти 1300 заявлений от жертв вымогателя. Некоторые пострадавшие появились в суде, чтобы лично потребовать компенсацию. Например, одному из них шифровальщик сорвал отпуск. Ущерб потерпевший оценил в 5 тысяч евро, на которые, по его словам, он смог бы все-таки поехать отдохнуть.
Еще одна жертва попросила вернуть выкуп так, как он был заплачен — в биткойнах. За прошедшее время курс криптовалюты поднялся почти в 30 раз, так что если суд удовлетворит ходатайство, это будет первый случай, когда на атаке вымогателя заработала пострадавшая сторона.
На прошедшем заседании представители обвинения потребовали наказания в виде трех месяцев в тюрьме с последующим девятимесячным условным сроком и 240 часами общественных работ. Адвокаты просят суд не отправлять братьев за решетку, аргументируя ходатайство тем, что подсудимые сотрудничали со следствием, а также тем, что один из них незаменим на своей нынешней работе, а второй учится в университете. Приговор станет известен на следующем заседании, 26 июля.
Мораль: злоумышленники не останутся безнаказанными
Мы всегда говорим, что идти на поводу у преступников — значит поощрять их. Суд над создателями Coinvault показывает, что даже якобы анонимные злодеи киберпространства не избегают наказания. Но лучше все-таки не ждать правосудия три года, а защититься от атак заранее и самостоятельно. Напоминаем наши стандартные советы:
- Не кликайте по подозрительным ссылкам и не открывайте подозрительные вложения в письмах.
- Регулярно делайте резервные копии файлов.
- Используйте надежное защитное решение.