Kaspersky Lab ve spolupráci s National High Tech Crime Unit (NHTCU) nizozemské policie zpřístupnila online dešifrovací aplikaci a databázi dešifrovacích klíčů. Díky ní mohou oběti ransomwaru CoinVault získat zpět svá data bez nutnosti za ně zaplatit. Databáze je dostupná na adrese noransom.kaspersky.com spolu s návodem k použití.
Útočníci, kteří stojí za ransomwarem CoinVault, šifrují soubory obětí a následně požadují Bitcoiny za jejich odblokování. Nizozemským úřadům a policii se podařilo získat databázi ze C&C serveru CoinVaultu, který obsahoval inicializační vektory (IVs), klíče a soukromé bitcoinové peněženky. Kaspersky Lab následně za pomoci NHTCU vytvořila speciální úložiště dešifrovacích klíčů, které bude v průběhu vyšetřování nadále aktualizovat.
CoinVault infikoval více než tisíc zařízení používajících OS Windows ve více než 20 zemích světa. Převážná většina obětí pocházela z Nizozemí, Německa, USA, Francie a Velké Británie. Případy napadení byly zaznamenány i v dalších 27 zemích, včetně Slovenska.
Analytici Kaspersky Lab také analyzovali vzorky malwaru a vytvořili dešifrovací nástroj, který dokáže odemknout zašifrované soubory a vymazat škodlivý program CoinVault z napadených počítačů. Jestliže bylo zařízení infikováno tímto malwarem, objeví se na obrazovce hlášení o zašifrování dat, instrukcemi, jak postupovat při jejich odblokování a kolik je nutné v Bitcoinech za odemčení zaplatit. Vyhnout se napadení lze pomocí pravidelného aktualizování anti-malwarového programu a zálohováním klíčových souborů.
Kaspersky Lab označila tuto rodinu jako 'Trojan-Ransom.Win32.Crypmodadv.cj'.