15.12.2025
1 хв
441
Група pro-Russia hacktivists CyberVolk повернулась у 2025 році з новим ransomware-as-a-service під назвою VolkLocker, який може атакувати Windows і Linux, але через критичну помилку в шифруванні жертви можуть відновити файли без виплати викупу.
VolkLocker — це нова версія шкідливого ПЗ, написана на Golang, яку оператори формують і контролюють через Telegram-ботів (включно з bitcoin-адресою, токеном та ID чату), що робить його доступним навіть для менш досвідчених кіберзлочинців.
Після запуску шифрувальник проводить перевірку середовища, намагається підвищити привілеї та шифрує файли за допомогою AES-256-GCM, однак майстер-ключ для всіх файлів жорстко вбудований у код та записується у відкритому вигляді в тимчасову директорію, що дозволяє потенційним жертвам самостійно розшифрувати дані.
Таке “збереження” ключа виглядає як тестовий артефакт, випадково залишений у робочій збірці, що підриває ефективність ransomware і ставить під сумнів технічну кваліфікацію CyberVolk.
Хоча повернення VolkLocker могло б стати значною загрозою в екосистемі ransomware, фундаментальний криптографічний дефект робить його менш небезпечним і навіть відкриває можливості для безкоштовного відновлення даних. Однак безпека систем все одно потребує посилення, адже такі інструменти продовжують еволюціонувати.
