В декабре 2025 года в сети появился новый сервис вымогателей как услуги под названием VECT. Уже в апреле 2026 года исследователи из Check Point обнаружили в нём критическую ошибку. Из-за неё программа превращается не в шифровальщика, а в уничтожитель данных. Даже если жертва заплатит выкуп, никто не сможет восстановить файлы размером больше 128 килобайт. Код, необходимый для расшифровки, просто исчезает в процессе атаки.
Как работает фатальный баг
Когда VECT сталкивается с файлом крупнее 128 КБ, он автоматически разбивает его на четыре части. Каждый фрагмент шифруется со своим случайным 12-байтовым ключом, который называется nonce. Проблема в том, что все четыре значения записываются в один и тот же буфер в памяти. Каждый новый nonce просто затирает предыдущий. В итоге после завершения шифрования на диске сохраняется только последний nonce — от четвертой части файла. Остальные три теряются навсегда. Это значит, что даже если оператор вымогателя честно передаст жертве ключ, расшифровать бо́льшую часть данных не получится. Информация, необходимая для этого, просто отсутствует.
Не единственная проблема в коде
Ошибка оказалась не единственной. Исследователи нашли и другие странности. Программа неэффективно использует потоки процессора, что замедляет ее же работу. Некоторые функции для запутывания строк кода написаны так, что взаимно отменяют друг друга. В публичных объявлениях самих авторов шифр назван неправильно. Кроме того, оператор VECT может выбрать один из трех режимов шифрования: быстрый, средний или надежный. Эти флаги принимаются программой, но никак не влияют на ее работу. Выбранный режим просто игнорируется.
Еще одна необычная деталь: в коде VECT Украина числится в составе Содружества Независимых Государств. После 2022 года большинство хакерских групп вычеркнули Украину из подобных списков, но здесь она осталась.
Кто стоит за VECT?
Создатели VECT стараются выглядеть как профессиональные хакеры. Их программа поддерживает несколько платформ: Windows, Linux и даже виртуальные машины. Они заключили партнерство с известной группировкой TeamPCP и через хакерский форум построили собственную партнерскую сеть, чтобы распространять вымогатель. Впрочем, как выяснилось, несмотря на внешний лоск начинка оказалась очень сырой.
Не первый и не последний случай
Ошибки в дорогих вымогательских проектах случаются регулярно. В начале того же года другой вымогатель, Nitrogen, случайно затирал часть публичных ключей шифрования нулями. Даже имея приватный ключ, расшифровать данные было невозможно. Скорее всего, разработчик просто допустил ошибку «смещение на единицу» при наборе кода.
Несмотря на то, что текущая версия не позволила своим создателям много заработать, остаться с крошечными и случайными частями файлов, может позволить себе далеко не каждый. Кроме того, у группы есть амбиции и понимание того, как должен выглядеть эффективный вымогатель. Они могут выпустить обновление, исправив все ошибки. Самое важное, что у них уже есть готовая инфраструктура для распространения. Им не придется начинать с нуля, и следующая версия VECT может стать по-настоящему серьезной угрозой. Олег Бунин: «Для меня промышленный ИИ — это ИИ, обладающий пространственным мышлением» Без аналогов Jira. Новый подход к управлению задачами в крупных компаниях «Интервью с алгоритмом – спросим у ИИ о ваших финансах». Обзор проекта «Финансовый доктор»
Уже сейчас политически мотивированные хакерские группировки объединяются для атак на российский бизнес.
Источник: www.it-world.ru