14 сентября 2015 года полиция Нидерландов арестовала двух жителей Амерсфорта (18 и 22 лет) по подозрению в совершении кибератак с применением шифровальщика CoinVault, жертвами которого с мая 2014 года стали пользователи в более чем 20 странах. Найти подозреваемых и получить сведения об их местонахождении Национальному подразделению высокотехнологичных преступлений полиции Нидерландов помогли экспертные данные «Лаборатории Касперского». Также помощь оказала компания Panda Security, предоставившая для изучения несколько образцов программы-вымогателя.

Киберпреступники пытались заразить шифровальщиком CoinVault десятки тысяч компьютеров по всему миру. Больше всего пользователей пострадало в Нидерландах, Германии, США, Франции и Великобритании. Злоумышленники сумели заблокировать по крайней мере 1500 компьютеров под управлением Windows, требуя выкуп в криптовалюте Bitcoin за восстановление доступа к данным.

Вирусописатели несколько раз модифицировали вредоносную программу, чтобы увеличить число жертв. Первый образец шифровальщика был обнаружен в ноябре 2014 года, тогда же был опубликован первый отчет «Лаборатории Касперского», после чего CoinVault на несколько месяцев затаился. Но уже в апреле 2015 года был задетектирован новый образец программы. После этого «Лаборатория Касперского» совместно с Национальным подразделением высокотехнологичных преступлений полиции Нидерландов выпустила базу ключей для расшифровки файлов noransom.kaspersky.com и открыла доступ к онлайн-приложению, с помощью которого жертвы CoinVault могли вернуть данные без уплаты выкупа киберпреступникам.

Спустя некоторое время с «Лабораторией Касперского» связалась компания Panda Security, которая передала дополнительные образцы некоего вредоносного ПО, которые, как показало исследование, также оказались модификациями CoinVault. Завершив анализ всех имеющихся в распоряжении образцов шифровальщика, «Лаборатория Касперского» передала результаты в полицию Нидерландов.

«Мы регулярно сотрудничаем с частными компаниями. «Лаборатория Касперского» сыграла значительную роль в расследовании этого преступления, сумев помочь нам установить личности злоумышленников и их местонахождение. Этот случай доказывает, что объединение усилий делает поиск преступников более эффективным», — рассказывает Томас Алинг (Thomas Aling), полиция Нидерландов.

«В апреле 2015 года был обнаружен новый образец уже знакомого нам шифровальщика CoinVault. Интересно, что в коде этого образца содержались строчки на безукоризненном нидерландском. Этот язык достаточно трудный, чтобы писать на нем без ошибок, поэтому мы заподозрили, что авторы программы могут быть жителями этой страны. Так и оказалось. Победа в битве с CoinVault стала возможна благодаря сотрудничеству правоохранительных органов и частных компаний. Вместе нам удалось достигнуть значительного результата — ареста двух подозреваемых», — комментирует Сергей Ложкин, антивирусный эксперт «Лаборатории Касперского».

Чтобы предотвратить заражение компьютера, полиция Нидерландов и «Лаборатория Касперского» советуют пользователям убедиться, что установленные на устройстве ПО и антивирусные программы регулярно обновляются. Кроме того, нужно регулярно делать резервные копии важных файлов и сохранять их на устройстве, у которого нет доступа к Интернету. И, наконец, ни в коем случае не следует платить выкуп, ведь, во-первых, его получение стимулирует злоумышленников на продолжение преступной деятельности, а во-вторых, совершенно не гарантирует возвращение доступа к файлам.