Sem querer, ransomware tranca arquivos e joga chave fora, inutilizando resgate

· Fonte: Canaltech

Uma pesquisa da empresa de segurança Check Point Research identificou uma nova cepa de ransomware que, sem querer, também está afetando os hackers negativamente: ela destrói os arquivos que deveria somente bloquear para cobrar resgate, impossibilitando a recuperação.

O malware em questão é o VECT 2.0, do tipo ransomware-as-a-service, que surgiu originalmente em um fórum cibercriminoso russo em 2025. Uma falha no código faz com que o programa “destrua” qualquer arquivo maior do que 128 kb (kilobytes), um tamanho bastante pequeno, menor do que qualquer anexo de e-mail.

Ransomware defeituoso e seus problemas

Quando o VECT encripta o arquivo, “bagunçando” suas informações, ele precisa salvar um nonce criptográfico, um código secreto que permite a desencriptação posterior. Para arquivos grandes, o ransomware gera quatro códigos.

-
Entre no Canal do WhatsApp do Canaltech e fique por dentro das últimas notícias sobre tecnologia, lançamentos, dicas e tutoriais incríveis.
-

Falha técnica em código amador faz ransomware gerar problemas tanto para vítimas quanto para hackers responsáveis (Imagem: Reprodução/KedeSolutions)
Falha técnica em código amador faz ransomware gerar problemas tanto para vítimas quanto para hackers responsáveis (Imagem: Reprodução/KedeSolutions)

Um erro na programação, no entanto, faz com que o programa siga sobrescrevendo cada código com um novo no mesmo espaço: é como escrever quatro combinações diferentes em um único papel e manter só a última. No final, três dos quatro códigos-chave somem para sempre, ou seja, é impossível usá-los como a senha de desencriptação.

Tanto os hackers quanto os pesquisadores de segurança e vítimas nunca mais terão acesso ao arquivo, que fica efetivamente destruído. Pagar o resgate é inútil, o que também afeta os criminosos negativamente.

A Check Point encontrou erros amadores no código do ransomware, desde ferramentas anunciadas que não funcionam, funções de evasão de segurança que está lá, mas não foram ligadas, e técnicas de escape que se cancelam sem querer: elas acabam deixando o código mais fácil de ler ao invés de mais difícil.

O preocupante nesse caso é que, apesar da incompetência técnica, o VECT tem um alcance grande: há uma parceria com BreachForums, uma das maiores comunidades hackers da internet, que dá a todos os usuários registrados acesso grátis ao kit de ferramentas de ransomware. Ataques do tipo têm evoluído a ponto de até incluírem violência física.

Leia a matéria no Canaltech.