CoinVault n'est pas le plus connu des ransomwares. Mais s'il n'a pas la notoriété de CryptoWall ou CryptoLocker, c'est un nuisible de la même espèce. Il chiffre les fichiers d'un ordinateur pris pour cible et demande le paiement d'une rançon en bitcoins pour leur libération qui passe par l'obtention de clés de déchiffrement.

CoinVault Une campagne cybercriminelle impliquant CoinVault a été menée de mai 2014 à avril 2015. Ce sont au moins 1 500 ordinateurs Windows qui ont été verrouillés par CoinVault, et principalement aux Pays-Bas, États-Unis, Allemagne, Royaume-Uni et en France.

On ne sait pas combien d'otages ont payé une rançon. En avril, Kaspersky Lab avait mis en ligne un dépôt de clés de déchiffrement et une application afin de donner une chance aux victimes de CoinVault de récupérer leurs données sans prendre le risque de payer les cybercriminels.

La semaine dernière, la police néerlandaise a annoncé l'arrestation dans la ville de Amersfoort de deux individus âgés de 18 et 22 ans. Ils sont suspectés d'être les instigateurs de la campagne CoinVault.

La piste néerlandaise a notamment été suivie car des exemplaires du malware contenaient des phrases écrites dans un hollandais parfait. " Le hollandais est une langue relativement difficile à écrire sans faire de fautes. Nous avions donc suspecté une piste néerlandaise depuis le début. Cela c'est avéré être le cas ", écrit Kaspersky Lab.

L'éditeur russe de solutions de sécurité a également collaboré avec Panda Security dans cette affaire qui a permis les interpellations des deux suspects hollandais… manifestement un peu trop pointilleux avec le maniement de leur langue.

La police hollandaise avait pris le contrôle du serveur de commande et contrôle ayant servi aux attaquants derrière CoinVault. Toutefois, une nouvelle variante de CoinVault a eu le temps de voir le jour. BitCryptor reprend en effet le même code mais les phrases écrites en hollandais ont été supprimées, ainsi que les liens avec CoinVault.