Исследователи Check Point обнаружили новую версию ransomware-as-a-service под названием Vect 2.0. Вместо того чтобы аккуратно зашифровать файлы и ждать выкуп за ключ, этот вредонос в большинстве случаев просто стирает информацию. По сути, он превращается в классический wiper — программу-стиратель, после которой восстановить данные практически невозможно, даже если жертва заплатит полную сумму.
Главная проблема кроется в механизме шифрования. При обработке файлов размером больше 128 КБ malware разбивает их на четыре независимых блока и пытается зашифровать каждый с помощью случайно сгенерированного 12-байтного nonce. Однако программа сохраняет и записывает в файл только четвёртый кусок, а первые три просто отбрасывает.
В итоге вместо зашифрованных данных на диск попадает небольшой объём случайного «мусора». Особенно сильно страдают большие файлы: документы, таблицы, образы виртуальных машин, базы данных, архивы и другие критически важные данные компании. Именно они становятся полностью невосстановимыми.
Vect 2.0 существует в версиях для Windows, Linux и среды виртуализации ESXi. Критическая ошибка присутствует во всех трёх вариантах, что указывает на общую кодовую базу. Кроме того, в malware полно других багов, включая постепенное снижение производительности во время «шифрования».
Ранее в этом году разработчики Vect объявили о сотрудничестве с группировкой TeamPCP, известной участием в громких атаках на цепочки поставок. Партнёрство должно было расширить круг потенциальных жертв, однако аффилиатов никто не предупредил о фатальном дефекте.
Эксперты Check Point подчёркивают: Vect 2.0 — это лишь частично реализованный и сырой RaaS-фреймворк. Пока его эффективность как настоящего вымогателя крайне низкая. Впрочем, в следующих версиях разработчики могут исправить ошибку. Уже анонсирована новая операция «Cloud Lockers», которая будет направлена на облачные хранилища через выбранных партнёров.
