Ransomware Imbatível: O Vírus que Destrói Dados Mesmo Após o Resgate

Pesquisadores da Check Point Research alertaram sobre um erro crítico no VECT 2.0, que resulta na perda das chaves de criptografia de arquivos superiores a 128 KB, tornando qualquer tentativa de pagamento de resgate infrutífera.

Um defeito no funcionamento do vírus ransomware VECT 2.0 leva à destruição irreversível dos arquivos das vítimas durante a infecção. Essa descoberta é atribuída à Check Point Research (CPR), que analisou as versões do malware e detectou a mesma falha severa em todas elas.

Na prática, o pagamento do resgate se torna inútil, pois nem mesmo os próprios criminosos conseguem restaurar os dados. O VECT opera com um modelo de ransomware como serviço (RaaS), caracterizando-se como uma franquia do crime digital, onde desenvolvedores fornecem ferramentas para afiliados que realizam os ataques, recebendo uma parte dos lucros.

Terminal mostrando a execução do VECT 2.0: apesar de inicializar o motor de criptografia e disparar 32 threads, o relatório final registra zero arquivos processados, evidenciando o mau funcionamento do malware. Imagem: Halcyon.

O grupo surgiu em dezembro de 2025, quando lançou o programa de afiliados em um fórum russo de cibercrime. As primeiras vítimas registradas ocorreram em janeiro de 2026, atingindo uma empresa de engenharia na África do Sul e uma instituição de ensino superior no Brasil.

Em fevereiro de 2026, a versão 2.0 do malware foi liberada, compatível com sistemas Windows, Linux e servidores VMware ESXi, frequentemente utilizados por empresas para a hospedagem de máquinas virtuais.

Leia Mais

Empresa brasileira teria sido usada em ataques DDoS contra provedores nacionais, diz site

Curtamente após, o VECT firmou uma parceria com o TeamPCP, conhecido por seus ataques à cadeia de suprimentos em março de 2026. Durante esse período, o grupo comprometeu pacotes de software amplamente utilizados por desenvolvedores, como Trivy, LiteLLM e Telnyx, afetando empresas que operavam com essas ferramentas. O VECT aproveitou as novas vítimas para ampliar sua atuação.

Papel de parede instalado pelo VECT 2.0 nas máquinas infectadas com Windows, exibindo a mensagem de resgate e instruções sobre como localizar o arquivo !!!_READ_ME!!!.txt. Imagem: Halcyon.

Além disso, o grupo colaborou com o BreachForums, um fórum de vazamento de dados, onde disponibilizou chaves de acesso ao ransomware para todos os membros registrados. Essa abordagem aberta é incomum, uma vez que, em geral, a entrada em grupos desse tipo depende de reputação ou pagamento.

O erro que transforma o ransomware em destruidor de dados

A operação básica de um ransomware é bastante clara: ele criptografa os arquivos da vítima através de chaves matemáticas, que são acessíveis apenas após o pagamento do resgate. Sem estas chaves, os dados permanecem inacessíveis. O problema e a falha do VECT residem exatamente nesse ponto.

Anúncio de recrutamento de afiliados publicado em fórum russo de cibercrime em dezembro de 2025, ressaltando em vermelho a alegação de uso do algoritmo ChaCha20-Poly1305 AED, que a Check Point Research identificou posteriormente como incorreta. Imagem: Halcyon.

Para arquivos acima de 128 KB, o malware divide o conteúdo em quatro partes e gera uma chave distinta para cada uma delas. Entretanto, devido a um erro de programação, apenas a chave da última parte é retida.

As outras três são sobrescritas e eliminadas no momento em que são criadas. Como essas chaves são valores aleatórios e imprevisíveis, é impossível recuperá-las posteriormente.

Como consequência, três quartos de cada arquivo grande se tornam permanentemente inacessíveis. Isso se aplica a documentos de escritório, planilhas, bancos de dados, imagens de disco de máquinas virtuais e backups. Arquivos menores que 128 KB são criptografados corretamente, mas a maioria dos dados corporativos relevantes ultrapassa esse tamanho.

A CPR confirmou que essa falha se estende às versões para Windows, Linux e ESXi, e que esteve presente desde a primeira versão do malware detectada em ação, mesmo antes do lançamento da versão 2.0. Até o momento, não houve correção para este erro.

Outros erros encontrados no código

A falha nas chaves não é o único problema encontrado. A CPR também detectou outros erros que revelam a disparidade entre o que o grupo promete e o que o malware realmente consegue fazer.

Leia Mais

Hackers norte-coreanos usaram o Claude para infectar pacote NPM com vírus

Os modos de velocidade de criptografia, classificados como rápido, médio e seguro nas versões Linux e ESXi, aparecem como opções no painel de controle para os operadores. Porém, o código simplesmente ignora essas escolhas e todos os ataques utilizam parâmetros fixos, independente da seleção do afiliado.

Mensagem privada enviada automaticamente pelo BreachForums a membros cadastrados com a chave de acesso ao VECT, parte da parceria que abriu o programa de afiliados a qualquer usuário do fórum. Imagem: Halcyon.

O VECT também tenta ocultar partes de seu código através de uma técnica chamada XOR, que embaralha os dados para dificultar a análise.

Na versão Linux, essa operação é aplicada duas vezes consecutivas, o que neutraliza o efeito e deixa o texto original exposto. É como trancar uma porta com duas chaves idênticas, onde a segunda destranca o que a primeira bloqueou.

Ademais, o gerenciamento de threads, que define quantas tarefas o malware executa ao mesmo tempo, foi mal estruturado. Em vez de otimizar a velocidade, o código dispara centenas de tarefas simultaneamente, sobrecarregando o sistema e tornando o processo mais lento do que se houvesse uma configuração simplicada.

Leia Mais

Pacote Python com milhões de usuários foi infectado por falha no GitHub

Página oficial da parceria entre BreachForums e VECT 2.0, anunciando acesso exclusivo ao ransomware para membros do fórum e prometendo atualizações contínuas. Imagem: Halcyon.

Fachada profissional, execução amadora

Embora o VECT se apresente como uma operação sofisticada, com painéis de controle bem elaborados e materiais de recrutamento detalhados, a análise técnica realizada pela CPR revela uma clara contradição.

O código contém três rotinas destinadas a identificar ambientes de análise, mas que nunca são ativadas pelo programa. Nenhuma está em funcionamento. A CPR descreveu isso como um indicativo de que o grupo tem ciência das características que um ransomware profissional deve ter, mas falha na implementação delas.

Além disso, enquanto o malware assegura utilizar o algoritmo ChaCha20-Poly1305 AEAD, que oferece maior integridade dos dados, na realidade, ele emprega o ChaCha20 simples, que não possui autenticação. Essa distinção é importante, pois o método real proporciona menos segurança ao processo de criptografia.

Post do grupo VECT no BreachForums comunicando a parceria com o TeamPCP e prometendo utilizar os acessos obtidos em ataques à cadeia de suprimentos para implantar campanhas de ransomware contra as empresas afetadas. Imagem: Halcyon.

A CPR advertiu que as falhas identificadas podem ser corrigidas em versões futuras, e a estrutura de distribuição já se encontra configurada para escalar os ataques. Por enquanto, qualquer empresa atingida pelo VECT 2.0 que pague o resgate não conseguirá recuperar seus dados, não por falta de vontade dos criminosos, mas devido ao fato de que as chaves necessárias foram eliminadas durante o ataque.

Leia Mais

Falha inédita no Windows permite que invasores tomem controle total do sistema

Fique por dentro das novidades seguindo a TecMania nas redes sociais. Para mais atualizações sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.