VECT 2.0 to narzędzie przedstawiane jako klasyczne ransomware, jednak eksperci alarmują, że w praktyce może ono działać znacznie bardziej destrukcyjnie. W najnowszych analizach wskazano, że oprogramowanie atakujące Windows, Linux i systemy ESXi ma poważną wadę w mechanizmie szyfrowania, która sprawia, że pliki większe niż 131 KB są nie tyle blokowane, co trwale niszczone. Oznacza to, że nawet zapłacenie okupu nie daje szans na odzyskanie danych. Według badaczy bezpieczeństwa zamiast ransomware mamy tu do czynienia z narzędziem przypominającym „wiper”, czyli malware nastawione na bezpowrotne kasowanie danych, a nie ich szyfrowanie.
Ransomware, które nie szyfruje? VECT 2.0 bardziej niszczy niż blokuje pliki
Analiza bezpieczeństwa pokazuje, że VECT 2.0 znacząco odbiega od klasycznego modelu ransomware, mimo że tak właśnie jest reklamowane. Oprogramowanie działa na wielu systemach (Windows, Linux oraz ESXi), jednak jego mechanizm szyfrowania zawiera poważną wadę konstrukcyjną. Dotyczy ona przede wszystkim większych plików, które przekraczają 131 KB. W ich przypadku dane nie są w pełni zabezpieczane szyfrowaniem, ale ulegają trwałemu uszkodzeniu w procesie działania malware. W efekcie pliki stają się nie do odzyskania, niezależnie od tego, czy ofiara zdecyduje się zapłacić okup, czy nie.
Badacze podkreślają, że problem wynika z samej konstrukcji narzędzia. Kluczowe elementy potrzebne do odszyfrowania danych nie są zachowywane. To sprawia, że nawet operatorzy VECT 2.0 nie byliby w stanie przygotować działającego dekryptora. W praktyce oznacza to, że zamiast typowego ransomware mamy do czynienia z oprogramowaniem, które bardziej przypomina tzw. „wipera”, a więc narzędzie nastawione na nieodwracalne niszczenie danych, a nie ich blokowanie w zamian za okup.
Błąd w szyfrowaniu i brak możliwości odzyskania danych nawet po zapłacie okupu
Szczegółowa analiza mechanizmu działania VECT 2.0 pokazuje, że problem dotyczy sposobu szyfrowania większych plików. Malware dzieli dane na kilka fragmentów i szyfruje je osobno. Jednak część kluczowych informacji potrzebnych do ich późniejszego odtworzenia jest generowana jednorazowo i natychmiast usuwana. W praktyce oznacza to, że duża część pliku staje się nieodwracalnie uszkodzona, bo brakuje danych niezbędnych do poprawnego odszyfrowania. Eksperci zwracają uwagę, że dotyczy to większości plików używanych w środowiskach firmowych, które zazwyczaj przekraczają wspomniany próg 131 KB.
VECT 2.0 działa w modelu ransomware-as-a-service. Zakłada więc udostępnienie narzędzia w ramach programu afiliacyjnego, który działa od grudnia 2025 roku. Oprogramowanie posiada wersje dla kilku systemów operacyjnych i oprócz samego szyfrowania zawiera także funkcje utrudniające analizę np. wykrywanie narzędzi bezpieczeństwa czy mechanizmy ukrywania się w systemie. W przypadku Windows malware potrafi modyfikować ustawienia uruchamiania systemu, tak aby działać nawet w trybie awaryjnym, co dodatkowo utrudnia jego usunięcie.
Co ciekawe, w niektórych wariantach zaobserwowano także funkcje geolokalizacji, które sprawdzają lokalizację systemu i w określonych przypadkach przerywają działanie. Badacze uznają to za nietypowe zachowanie, gdyż w świecie ransomware takie ograniczenia są rzadkością.
Źródło: The Hacker News / Zdjęcie otwierające: Unsplash (@simplicity)