In september 2015 arresteerde de Nederlandse politie twee mannen in Nederland op verdenking van betrokkenheid bij de CoinVault en Bitcryptor ransomware-aanvallen. Met deze arrestaties, en door het feit dat het laatste gedeelte van de decryptiesleutels nu beschikbaar is, is het mogelijk om de zaak over de CoinVault-aanvallen ook voor de slachtoffers te sluiten. Kaspersky Lab heeft nog eens 14.031 decryptiesleutels toegevoegd aan de database noransom.kaspersky.com. Hierdoor kunnen nu alle slachtoffers van de CoinVault en Bitcryptor gijzelingssoftware hun gecodeerde gegevens herstellen zonder een enkele bitcoin aan losgeld te betalen aan de cybercriminelen. Reden voor de algemene jury van de Computable Awards 2016 om Kaspersky Lab te nomineren in de categorie Securityleverancier van het jaar.
Sinds april 2015 zijn er in totaal 14.755 sleutels beschikbaar gesteld aan slachtoffers, zodat zij hun bestanden weer kunnen ontgrendelen met behulp van de door beveiligingsexperts van Kaspersky Lab ontwikkelde tool. Het Landelijk Parket van het Nederlandse Openbaar Ministerie haalde de decryptiesleutels van de CoinVault command & control-servers na de arrestatie van de verdachten in september.
De CoinVault cybercriminelen probeerden tienduizenden computers wereldwijd te infecteren. Ze slaagden erin ten minste 1500 Windows-gebaseerde machines te vergrendelen, waarna ze voor het decoderen van de bestanden bitcoins eisten van de slachtoffers. Gebruikers van in totaal 108 landen werden getroffen waarvan de meesten in Nederland, Duitsland, de Verenigde Staten, Frankrijk en het Verenigd Koninkrijk.
Kaspersky Lab ontdekte de eerste versie van CoinVault in mei 2014. Later leverde het bedrijf een grondige analyse van alle betrokken malware samples, als bijdrage aan een door de National High Tech Crime Unit (NHTCU) van de Nederlandse politie en het Landelijk Parket uitgevoerd onderzoek. Tijdens het gezamenlijke onderzoek wisten de NHTCU en het Nederlandse OM de hand te leggen op databases afkomstig van de CoinVault command & control servers. Deze servers bevatten initialisatie vectoren (IV’s), sleutels en privé bitcoinportefeuilles en hielpen Kaspersky Lab en de NHTCU een speciale database te maken met decryptiesleutels: noransom.kaspersky.com.