카스퍼스키랩이 랜섬웨어 대응 센터인 noransom.kaspersky.com에 1만4031개의 복호화 키를 추가적으로 업로드함으로써 코인볼트(CoinVault) 및 비트크립토(Bitcryptor) 랜섬웨어의 피해를 입었던 모든 사용자들이 범죄자들에게 단 한 푼의 비트코인을 지불하지 않고도 암호화된 데이터를 되찾아 올 수 있게 됐다고 밝혔다.
2015년 4월부터 총 1만4755개의 복호화 키가 피해자들에게 제공돼 카스퍼스키랩의 보안 전문가가 개발한 전용 복호화 애플리케이션을 통해 암호화된 파일을 찾을 수 있게 됐다.
네덜란드 검찰청은 코인볼트의 C&C 서버에서 복호화 키를 입수했다. 또 9월에는 네덜란드 경찰이 랜섬웨어 공격 용의자 2명을 네덜란드에서 검거했다. 이렇게 용의자를 검거하고 서버에서 복호화 키를 확보함으로써 드디어 코인볼트 공격이 막을 내렸다.
코인볼트 사이버 범죄자들은 전세계 수만대의 컴퓨터를 감염시키려고 시도했다. 그 결과 네덜란드, 독일, 미국, 프랑스, 영국을 중심으로 피해가 발생했고 피해를 입은 총 국가 수는 108개에 이른다. 이들은 1500대 이상의 윈도 기반 시스템을 암호화하는 데 성공했고 이를 복호화하는 대가로 비트코인을 요구했다.
카스퍼스키랩은 2014년 5월 코인볼트 최초 버전을 발견한 바 있으며 그 후에는 관련된 모든 악성 코드 샘플을 면밀하게 분석해 네덜란드 경찰국의 NHTCU(National High Tech Crime Unit)와 네덜란드 경찰청에서 주도하는 수사에 크게 기여했다.
공동 조사 기간 동안 NHTCU와 네덜란드 검찰청은 코인볼트 C&C 서버의 데이터베이스를 확보했다. 이 서버는 초기화 벡터(IV), 복호화 키, 개인 비트코인 지갑이 포함돼 있었고 카스퍼스키랩과 NHTCU의 지원으로 복호화 키를 제공하는 전용 대응 웹사이트인 noransom.kaspersky.com을 구축했다.
이창훈 카스퍼스키랩 지사장은 “코인볼트 랜섬웨어의 범죄 행각은 이제 끝이 났다. 남아 있는 피해자들도 곧 파일을 되찾을 수 있고 용의자들도 검거됐다. 이 모든 것이 네덜란드 경찰, 카스퍼스키랩, 판다시큐리티가 힘을 합친 덕분이다. 코인볼트 수사는 모든 복호화 키를 확보할 수 있었다는 점에서 기념비적인 사건이라고 볼 수 있다. 모두의 노력 덕분에 사이버 범죄자의 비즈니스 모델을 붕괴시킬 수 있었다”고 말했다.
