Kaspersky: disponibile il tool per liberare i dati bloccati da CoinVault


Da oggi, le vittime del ransomware CoinVault hanno la possibilità di recuperare i loro dati senza dover pagare nessun riscatto ai cybercriminali, grazie a un archivio di chiavi di decriptazione e un’applicazione resa disponibile online da Kaspersky Lab e dalla National High Tech Crime Unit (NHTCU) della polizia olandese. Le chiavi e il tool sono disponibili su noransom.kaspersky.com, insieme a chiare istruzioni su come utilizzarli. Il ransomware CoinVault è attivo già da qualche tempo, e cripta i file delle vittime per poi chiedere un riscatto in Bitcoin in cambio dello sblocco.

Per aiutare le vittime a recuperare i propri dati in seguito all’attacco, la NHTCU e il Netherlands’ National Prosecutors Office sono riusciti a ottenere un database da un server di comando e controllo di CoinVault. Questo server conteneva Vettori di Inizializzazione (VI), chiavi e portafogli Bitcoin privati e ha aiutato Kaspersky Lab e la NHTCU a creare un archivio speciale di chiavi di decriptazione. L’indagine è ancora in corso, per cui verranno aggiunte nuove chiavi non appena disponibili.

“Le vittime del ransomware CoinVault dovranno collegarsi al sito noransom.kaspersky.com dove avranno accesso a numerose chiavi. Se il record di un determinato portafoglio Bitcoin, non è ancora disponibile vi suggeriamo di ricontrollare in futuro, perché, insieme alla National High Tech Crime Unit della polizia olandese, stiamo aggiornando continuamente le informazioni”, ha detto Jornt van der Wiel, Security Researcher del Global Research e Analysis Team, Kaspersky Lab.


CoinVault ha infettato più di mille dispositivi Windows in più di 20 Paesi, perlopiù situati nei Paesi Bassi, Germania, Stati Uniti, Francia e Regno Unito. Sono state registrate delle vittime anche in Belgio, Austria, Svizzera, Norvegia, Svezia, Lussemburgo, Danimarca, Slovacchia, Slovenia, Spagna, Italia, Ungheria, Irlanda, Croazia, Russia, Canada, Israele, Emirati Arabi Uniti, Cina, Indonesia, Thailandia, Sud Africa, Australia, Nuova Zelanda, Panama, Repubblica Dominicana e Messico.


L'e-mail con il virus (ransomware) è stato inviata a centinaia di indirizzi di posta elettronica in più di venti paesi, ma l’accento è stato posto sui Paesi Bassi. Solo nei Paesi Bassi 700 computer sono stati bloccati. L’High Tech Crime Unit della polizia sta indagando ulteriormente sugli autori del ransomware. Non ci sono ancora sospetti arrestati, ma la polizia non esclude che questo potrà accadere nel prossimo futuro. Si sospetta che l'autore sia in Olanda. La polizia chiede a tutti di continuare a riferire se sono state vittime di criminalità informatica.

“Sono sempre di più coloro che credono che combattere il crimine informatico richieda partnership tra aziende pubbliche e private. Noi lo facciamo. E’ importante relazionarsi con i propri partner e aiutarsi a vicenda per raggiungere un obiettivo comune: la cybersicurezza” ha spiegato Marijn Schuurbiers dell’High Tech Crime Team della polizia olandese. Inoltre, gli esperti di sicurezza di Kaspersky Lab hanno analizzato campioni di malware e progettato e realizzato un tool di decriptazione in grado di sbloccare i file e di eliminare il programma nocivo CoinVault dal computer infetto.

Se un PC è stato infettato da CoinVault, appare sullo schermo un’immagine simile a quella riportata sopra. Per scoprire come rimuovere il ransomware CoinVault dal Vostro computer e ripristinare i file, è necessario visitare il sito https://noransom.kaspersky.com/ Questo non è il primo ransomware di questa tipolo, è solo molto evoluto. Come evitare di venire infettati? È essenziale mantenere aggiornata la propria suite anti-malware e fare sempre il backup dei file più importanti, ad esempio in un spazio cloud. Kaspersky ha identificato questa famiglia come “Trojan-Ransom.Win32.Crypmodadv.cj”. Per ulteriori informazioni visitare: www.kaspersky.com/it.




Fonte: Kaspersky
Via: Politie

Nessun commento:

Posta un commento