Ten wirus detonuje duże pliki. Nie do odzyskania

Badacze cyberbezpieczeństwa ostrzegają przed VECT 2.0, które na pierwszy rzut oka wygląda jak kolejne ransomware, ale w praktyce jest znacznie groźniejsze. Powód jest prosty: przez błąd w implementacji szyfrowania malware trwale niszczy większe pliki, zamiast je poprawnie szyfrować. Oznacza to, że nawet zapłacenie okupu nie pozwala odzyskać danych.

Autorzy VECT 2.0 próbują wyglądać profesjonalnie, ale są amatorami

Problem dotyczy wariantów przygotowanych dla Windowsa, Linuksa oraz ESXi. VECT 2.0 traktuje jako "duże" wszystkie pliki przekraczające 131 KB, czyli w praktyce większość dokumentów, baz danych, archiwów i innych zasobów istotnych dla firm oraz użytkowników domowych.

Malware szyfruje takie pliki w czterech fragmentach, ale zapisuje tylko jeden z wymaganych identyfikatorów. Pozostałe trzy są generowane, używane i natychmiast porzucane, przez co nie da się później odtworzyć 3/4 zawartości pliku. Nie mogą tego zrobić ani ofiary, ani sami przestępcy.

Check Point podkreśla, że w takim scenariuszu negocjacje z napastnikami nie są strategią odzyskiwania informacji. Jedyną realną ochroną pozostają odporność infrastruktury, kopie zapasowe offline, przetestowane procedury odtwarzania i szybkie odcięcie zainfekowanych systemów.

Co ciekawe, jeśli malware wykryje, że działa w kraju ze Wspólnoty Niepodległych Państw, przerywa szyfrowanie. Na liście wykluczeń znalazła się także Ukraina, co jest nietypowe dla nowszych rodzin ransomware. Według badaczy możliwe są dwa wyjaśnienia: kod mógł zostać częściowo wygenerowany przez narzędzie AI trenowane na starszych danych albo twórcy VECT wykorzystali przestarzałą bazę kodu.

Wnioski z analizy Check Point Research są jednoznaczne: VECT 2.0 ma ambitną prezentację, wieloplatformowe warianty, panel operatorski i model partnerski, ale jego wykonanie zdradza niedoświadczonych autorów. Dla ofiar to jednak marne pocieszenie. Błąd przestępców nie osłabia skutków ataku, tylko zamienia wymuszenie w trwałe niszczenie danych.