В понедельник, 14 сентября 2015 года, голландская полиция арестовала двух молодых людей, 18 и 22 лет, из Амерсфорта, Нидерланды. Парочка была арестована по подозрению в создании и распространении программы-шифровальщика CoinVault.
Начиная с мая 2014 года этот зловред заражал устройства пользователей более чем из 20 стран, блокировал их системы и требовал выкуп за возврат доступа к файлам. Самое большое количество жертв было зарегистрировано в Нидерландах, Германии, США, Франции и Великобритании.
«Лаборатория Касперского» следила за развитием зловреда CoinVault с 2014 года. Тогда же началось наше сотрудничество с Национальным подразделением по расследованию высокотехнологичных преступлений голландской полиции.
Дело в том, что в двоичном коде зловреда были обнаружены фрагменты на голландском. Не зная языка, довольно сложно писать по-голландски без ошибок, поэтому мы с самого начала предположили, что искать нужно в Нидерландах. И не ошиблись.
В ноябре 2014 года «Лаборатория Касперского» и голландская полиция запустили сайт noransom.kaspersky.com — сервис для расшифровки файлов, украденных вымогателем CoinVault. Этот сайт стал работающей альтернативой для жертв вымогателя. Без него варианта у них было только два: заплатить деньги или расстаться с файлами навсегда.
Сделали штуку, которая поможет избавиться от шифровальщика CoinVault и восстановить файлы: http://t.co/0TbswSuGXd pic.twitter.com/lA0H19MwtW
— Kaspersky (@Kaspersky_ru) April 14, 2015
Тем временем преступники продолжали совершенствовать свое зловещее детище. Вскоре после CoinVault была обнаружена программа для воровства информации Comhost, кодом очень напоминающая «папочку-вымогателя». На смену первым, опытным образцам обеих программ были выпущены и другие (например, BitCryptor) — преступники явно хотели отточить мастерство и заработать побольше.
В ходе расследования с нами связались представители Panda Security и передали дополнительные образцы CoinVault и его потомков. После тщательного анализа они были переданы голландской полиции. Так, объединив усилия, мы смогли поймать преступников.
Создатели трояна-вымогателя #CoinVault были пойманы «Лабораторией Касперского» и голландской полицией
Tweet
Нас очень радует, что в индустрии постепенно формируется стремление к объединению усилий для поимки преступников. Многие специалисты по безопасности и антивирусные компании выступают с отдельными инициативами, но лишь единицы по-настоящему готовы к совместной работе.
Голландская полиция отмечает, что сотрудничество с независимыми компаниями помогает ловить больше преступников. Программы-вымогатели — бич нашего времени, в основном потому, что не все пользователи понимают, насколько они опасны. Но всему однажды приходит конец, и рано или поздно многие киберпреступники, наживающиеся за чужой счет, будут пойманы.
Как защитить свои устройства от вымогателей: http://t.co/Y9XvDp1TRl #вымогатель #киберпреступность #мошенничество pic.twitter.com/0yjKzexAJa
— Kaspersky (@Kaspersky_ru) December 4, 2014
Помните: гораздо легче защитить ваш компьютер от зловреда, чем потом иметь дело с последствиями — пытаться расшифровать файлы или платить выкуп. Обновляйте ПО и антивирус, регулярно создавайте резервные копии и проверяйте их работоспособность. И спите спокойно. И пожалуйста, помните: отправляя деньги преступникам, вы их поощряете. К тому же никто не гарантирует, что даже после выплаты кругленькой суммы преступники вернут вам файлы.