2900 slachtoffers van de CryptoLocker-ransomware hebben dankzij optreden van beveiligingsbedrijven Fox-IT en FireEye zonder te betalen hun versleutelde bestanden teruggekregen. CryptoLocker is ransomware die bestanden op besmette computers versleutelt en vervolgens een bedrag eist dat slachtoffers moeten betalen om weer toegang te krijgen.

De gebruikte encryptie is zo sterk dat het terugkrijgen van versleutelde bestanden, tenzij er betaald werd of slachtoffers over een back-up beschikten, zo goed als onmogelijk was. Voor het versleutelen werd voor elke besmette computer een aparte privésleutel gebruikt, die zich op de servers van CryptoLocker bevond. Alleen met deze privésleutel konden de bestanden worden ontsleuteld. De criminelen achter de ransomware hadden de locatie van deze server echter goed verborgen.

CryptoLocker werd onder andere via de GameOver Zeus Trojan verspreid. Onlangs voerde de FBI een grote operatie tegen GameOver Zeus uit, waarbij het botnet werd uitgeschakeld. Dit zorgde ervoor dat de botnetbeheerders in actie kwamen en probeerden om de infrastructuur te redden. Daarbij werden ook de privésleutels verstuurd via een deel van de infrastructuur die door Fox-IT en FireEye werd gemonitord, waardoor het Amerikaanse en Nederlandse beveiligingsbedrijf de sleutels konden onderscheppen.

Vervolgens werd de website decryptcryptolocker.com gelanceerd die CryptoLocker-slachtoffers helpt met het ontsleutelen van hun versleutelde bestanden. Inmiddels heeft de website ervoor gezorgd dat 2900 slachtoffers hun bestanden terug hebben gekregen. De meeste verzoeken voor het ontsleutelen van gegevens waren afkomstig uit de Verenigde Staten, gevolgd door Groot-Brittannië. In Nederland werden 14 slachtoffers van CryptoLocker geholpen.