De Nederlandse politie heeft inmiddels de decryptiesleutels van 2100 slachtoffers van de CoinVault-ransomware gevonden, waardoor deze mensen kosteloos hun versleutelde bestanden via een website van Kaspersky Lab kunnen ontsleutelen. Dat laat Jornt van der Wiel, beveiligingsanalist bij het Russische anti-virusbedrijf, tegenover Security.NL weten. Deze week werd bekend dat de politie samen met Kaspersky een oplossing had ontwikkeld zodat slachtoffers zonder te betalen hun gegevens kunnen terugkrijgen.

De zaak kwam aan het rollen toen een Zweeds slachtoffer ontdekte dat zijn decryptiesleutel op een gehackte Nederlandse server stond. De Zweed benaderde de servereigenaar, die met een kopie van de gegevens naar de politie ging. De politie besloot Kaspersky Lab te benaderen om te kijken hoe slachtoffers konden gewaarschuwd en de gevonden sleutels konden worden gebruikt om slachtoffers te helpen, zo laat Van der Wiel weten. De politie verstrekte alleen de keys, bitcoin wallets en initialization vectors (die nodig zijn om de bestanden te ontsleutelen) aan Kaspersky. De virusbestrijder maakte deze website waar slachtoffers hun decryptiesleutel en initialization vectors kunnen vinden om de bestanden te ontsleutelen.

Via de melding van het Zweedse slachtoffer waren de sleutels van 700 slachtoffers gevonden. Tijdens het onderzoek kreeg Kaspersky Lab een exemplaar in handen waarbij er een andere in Nederland gehoste server werd ontdekt. "De politie wist binnen een recordtijd van zes uur een kopie van die server te krijgen, met weer ongeveer 700 keys", merkt Van der Wiel op. In totaal ging het om 1400 slachtoffers, waarvan 700 Nederlanders. Afgelopen vrijdag ontdekte de politie weer een server, met weer zo'n 700 keys, waardoor het totaal aantal slachtoffers en gevonden sleutels op 2100 uitkomt. Hoeveel Nederlanders er onder de 700 nieuwe slachtoffers zitten is onbekend.

Nederlander

De politie liet in de aankondiging weten dat het vermoeden bestaat dat de dader zich in Nederland bevindt. Van der Wiel stelt dat er in de code van de ransomware "hardcoded" Nederlandse teksten werden aangetroffen. "Wat ons opviel was dat die stukken Nederlands redelijk foutloos waren en niet via Google Translate waren vertaald." Of de maker ook een Nederlander is, is volgens Van der Wiel lastig te zeggen. Het is ook mogelijk dat de dader de ransomware van andere cybercriminelen heeft gekocht en zelf de Nederlandse teksten heeft toegevoegd. "De auteur van die teksten is wel een Nederlander", merkt hij op. Hoeveel mensen via de website van Kaspersky hun gegevens hebben ontsleuteld kon Van der Wiel nog niet zeggen.