Ransomware bugado: vírus sequestrador de dados destrói arquivos mesmo após pagamento

Um erro de programação no vírus sequestrador VECT 2.0 faz com que os arquivos das vítimas sejam destruídos de forma permanente durante o ataque. A descoberta é da Check Point Research (CPR), que analisou as três versões do ransomware e encontrou a mesma falha crítica em todas elas. 

Na prática, pagar o resgate não resolve nada, porque nem os próprios criminosos conseguem recuperar os dados. O VECT funciona no modelo ransomware-as-a-service (RaaS), basicamente uma franquia de crime digital em que os desenvolvedores cedem a ferramenta para afiliados realizarem os ataques em troca de uma parte do lucro.

O grupo estreou em dezembro de 2025, quando abriu o programa de afiliados em um fórum russo de cibercrime. As primeiras vítimas vieram em janeiro de 2026, uma empresa de engenharia na África do Sul e uma instituição de ensino superior no Brasil.

Em fevereiro de 2026, o grupo lançou a versão 2.0 do malware, compatível com sistemas Windows, Linux e servidores VMware ESXi – que são usados por empresas para hospedar máquinas virtuais.

Logo depois, o VECT anunciou uma parceria com o grupo TeamPCP, responsável por ataques de cadeia de suprimentos em março de 2026. Na ocasião, os criminosos infectaram pacotes de software populares entre desenvolvedores, como Trivy, LiteLLM e Telnyx, comprometendo empresas que usavam essas ferramentas. O VECT aproveitou as vítimas geradas por esses ataques para ampliar suas operações.

O grupo também firmou uma parceria com o BreachForums, fórum de vazamento de dados, e distribuiu chaves de acesso ao ransomware para todos os membros cadastrados. Esse modelo aberto é incomum no setor, onde a entrada normalmente depende de reputação ou pagamento de taxa.

O erro que transforma o ransomware em destruidor de dados

O funcionamento básico de um ransomware é simples. Ele criptografa os arquivos da vítima usando chaves matemáticas, disponibilizadas somente após o pagamento do resgate. Sem a chave, os dados ficam inacessíveis. O problema do VECT é exatamente aí.

Para arquivos acima de 128 KB, o malware divide o conteúdo em quatro partes e gera uma chave diferente para criptografar cada uma delas. Mas por um erro de programação, apenas a chave da última parte é salva.

As outras três são sobrescritas e apagadas no momento em que são geradas. Como essas chaves são valores aleatórios e imprevisíveis, é impossível recriá-las depois.

O resultado é que três quartos de cada arquivo grande ficam permanentemente inacessíveis. Isso vale para documentos de escritório, planilhas, bancos de dados, imagens de disco de máquinas virtuais e backups. Arquivos abaixo de 128 KB são criptografados corretamente, mas praticamente nenhum dado corporativo relevante se encaixa nesse tamanho.

A CPR confirmou que a falha existe nas versões para Windows, Linux e ESXi, e que estava presente desde a primeira versão do malware detectada em campo, antes mesmo do lançamento da versão 2.0. Nunca foi corrigida.

Outros erros encontrados no código

A falha nas chaves não é o único problema. A CPR identificou uma série de outros erros que mostram a distância entre o que o grupo promete e o que o malware realmente faz.

Os modos de velocidade de criptografia, chamados de fast, medium e secure nas versões Linux e ESXi, aparecem no painel de controle como opções para o operador. Mas o código lê essas escolhas e as ignora completamente. Todos os ataques usam os mesmos parâmetros fixos, independentemente do que o afiliado selecionar.

O VECT também tenta esconder partes do seu código usando uma técnica chamada XOR, basicamente uma operação matemática que embaralha os dados para dificultar a análise.

Na versão Linux, o código aplica essa operação duas vezes seguidas, o que cancela o efeito e deixa o texto original exposto. É como trancar uma porta com duas chaves iguais, a segunda destrava o que a primeira fechou.

O gerenciador de threads, mecanismo que define quantas tarefas o malware executa ao mesmo tempo, também foi mal implementado. Em vez de otimizar a velocidade, o código lança centenas de tarefas simultâneas, sobrecarregando o sistema e tornando o processo mais lento do que seria com uma configuração simples.

Fachada profissional, execução amadora

O VECT se apresenta como uma operação sofisticada. O painel de controle é bem construído, os materiais de recrutamento são detalhados, e a parceria com o BreachForums ampliou o alcance do grupo de forma significativa. Mas a análise técnica da CPR expõe uma contradição clara.

O código contém três rotinas de detecção de ambientes de análise que estão compiladas no executável, mas nunca são chamadas pelo programa. Nenhuma delas chega a funcionar. A CPR descreveu o cenário como o de um grupo que sabe quais recursos um ransomware profissional deveria ter, mas que não conseguiu implementá-los corretamente.

O malware também afirma usar o algoritmo ChaCha20-Poly1305 AEAD, versão autenticada que garante a integridade dos dados. Na realidade, usa o ChaCha20 simples, sem autenticação. A diferença é relevante porque o método real oferece menos proteção ao processo de criptografia.

A CPR alertou que as falhas identificadas podem ser corrigidas em versões futuras, e que a infraestrutura de distribuição já está montada para escalar os ataques. Por ora, qualquer empresa atingida pelo VECT 2.0 que pague o resgate não terá seus dados recuperados, não por má-fé dos criminosos, mas porque as chaves necessárias foram destruídas no momento do ataque.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.