29.04.2026
1 хв
179
Нова версія шкідника VECT 2.0 поводиться не як класичний ransomware, а фактично як вайпер. Через критичну помилку в шифруванні файли жертв знищуються без можливості відновлення навіть після оплати викупу.
Мисливці за загрозами попереджають про нову хвилю атак, пов’язаних із VECT 2.0. Попри позиціонування як ransomware, на практиці цей шкідник поводиться як вайпер. Через критичний дефект у механізмі шифрування він фактично знищує дані без можливості відновлення навіть для самих зловмисників.
Проблема в тому, що великі файли не шифруються коректно. Замість цього вони безповоротно пошкоджуються. У результаті жертви, які погоджуються заплатити викуп, все одно не можуть повернути інформацію, бо ключі дешифрування просто не зберігаються.
«VECT рекламується як програма-вимагач, але для будь-якого файлу розміром понад 131 КБ він функціонує як інструмент знищення даних», – пояснив керівник Check Point Research Елі Смаджа.
Він також наголосив, що у випадку з VECT оплата не має сенсу як стратегія відновлення: «Немає дешифратора, який можна передати, не тому що зловмисники не хочуть, а тому що необхідні дані знищуються під час роботи шкідника».
Сам проєкт VECT, який нині просувається як VECT 2.0, працює за моделлю ransomware-as-a-service. Партнерську програму запустили у грудні 2025 року. На сайті в даркнеті група прямо описує свою схему як «викрадення, шифрування та вимагання», роблячи ставку на класичну модель потрійного тиску.
Для нових учасників передбачений вступний внесок у 250 доларів у криптовалюті Monero. При цьому користувачів із країн СНД від цього платежу звільняють, що може свідчити про спробу залучити саме цю аудиторію.
Останнім часом оператори VECT активніше виходять на даркнет-платформи. Вони уклали партнерства з BreachForums і групою TeamPCP, щоб спростити запуск атак і залучити нових афілійованих учасників. За оцінками Dataminr, така комбінація крадіжки даних із ланцюгів постачання, готової RaaS-моделі та активної вербовки створює небезпечну екосистему для масштабних атак.
Попри гучні заяви, наразі на сайті витоків згадуються лише дві жертви. Обидві, як стверджується, були скомпрометовані через атаки ланцюга постачання TeamPCP.
Окрему увагу дослідники звернули на технічну реалізацію. Заявлений алгоритм шифрування ChaCha20-Poly1305 AEAD насправді не використовується повноцінно. Замість цього застосовується слабша схема без перевірки цілісності даних.
Ключовий дефект виглядає так: для кожного великого файлу шкідник генерує чотири випадкові значення, але зберігає лише одне. Решта трьох зникають без сліду. Саме вони потрібні для відновлення даних. У підсумку приблизно три чверті кожного файлу стають недоступними назавжди.
Це означає просту річ: навіть сам оператор ransomware не може створити робочий дешифратор.
Шкідник уже має версії для кількох платформ:
Windows
Linux
ESXi
Версія для Windows додатково містить великий набір антианалізу. Вона перевіряє десятки інструментів безпеки, може запускатися в безпечному режимі та використовує сценарії для горизонтального поширення в мережі.
Наприклад, параметр “–force-safemode” змушує систему перезавантажитися в safe mode і запускає шкідник ще до повноцінного старту ОС, коли більшість захисних механізмів не активні.
При цьому частина функцій маскування у Windows-версії взагалі не використовується. Це дає шанс фахівцям з безпеки виявити шкідник без додаткових обхідних технік.
Версія для ESXi поводиться інакше. Вона перевіряє геолокацію та наявність відладчиків, а також намагається поширюватися мережею через SSH. Linux-варіант побудований на тому ж коді, але має менше функцій.
Цікавий момент стосується геофільтрації. Якщо шкідник виявляє, що працює в країні СНД, він завершує роботу без шифрування. При цьому Україна також входить до списку виключень, що виглядає нетипово для сучасних ransomware-операцій.
Дослідники припускають два варіанти: або код частково створювався за допомогою штучного інтелекту, який використовував застарілі дані, або розробники взяли стару базу ransomware і не оновили логіку.
Загалом фахівці оцінюють VECT як досить «сирий» проєкт. Попри амбіції, мультиплатформеність і активну партнерську програму, його технічна реалізація значно відстає від заявленого рівня.
І головне, що робить його небезпечним, це не складність атаки, а повна відсутність сценарію відновлення даних.
