VECT, свежий ransomware-as-a-service, из-за бага фактически превращается в вайпер: он ломает все файлы крупнее 128 КБ так, что их нельзя расшифровать даже при наличии ключа. Об этом рассказали исследователи Check Point Research, разобравшие механику шифрования и ошибки в коде.
VECT впервые заметили в сети в декабре 2025 года. Операторы при этом подают его как «серьёзный» инструмент: заявляют поддержку Windows, Linux и ESXi, партнёрства с другими злоумышленниками и собственную партнёрскую сеть.
Почему VECT не даёт расшифровать файлы больше 128 КБ
Проблема сидит в том, как VECT обрабатывает крупные файлы. По данным Check Point Research, всё, что больше 128 КБ, вредонос делит на четыре чанка и шифрует каждый отдельно.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Для каждого чанка он генерирует случайный nonce на 12 байт. Дальше начинается самое неприятное: все четыре nonce записываются в один общий буфер вывода. Буфер один и адрес один, поэтому каждый следующий nonce перезаписывает предыдущий.
В итоге после завершения операции в файле сохраняется только последний nonce — тот, что относится к четвёртому чанку. Для расшифровки нужны все nonce, но трёх из них уже нет. Поэтому ключ расшифровки не поможет, потому что часть данных, нужных для обратной операции, уничтожена самим шифровальщиком.
Другие ошибки в коде и подозрение на «vibe coding»
Check Point Research описывает VECT как продукт с целым набором странностей. Исследователи увидели проблемы с использованием CPU-потоков и обфускацией строк, где отдельные рутины по сути отменяют друг друга.
Ещё один маркер — публичные отчёты VECT, где вредонос неверно идентифицирует используемые шифры. А выбор режимов «fast / medium / secure» выглядит как витрина: операторы могут выбрать один из трёх вариантов, параметр парсится, но в коде не реализуется.
Из-за таких несостыковок Check Point Research предполагает, что часть кода могли «навайбкодить» с помощью ИИ, либо авторы взяли старую кодовую базу и плохо её адаптировали. На практике это не делает VECT безопасным. Это лишь означает, что текущая версия ломает данные жертвы сильнее, чем задумывали вымогатели.
Похожий случай уже был в 2026 году
Это не первый пример, когда ошибка разработчиков ломает экономику вымогательства. Ранее в 2026 году у Nitrogen ransomware нашли баг, который затирал часть публичных ключей нулями. Даже с приватным ключом восстановить данные было нельзя, потому что публичные ключи оказались повреждены. В сообщениях о том кейсе фигурировала версия про типичную ошибку «off-by-one» и человеческий фактор.
При этом Check Point Research подчёркивает: VECT выглядит как проект с амбициями. У него уже есть модель распространения и партнёрская инфраструктура, а значит исправленная версия может появиться быстро и разойтись шире.
Технические детали и разбор механики шифрования Check Point Research опубликовала в своём отчёте: VECT ransomware: by design wiper by accident.
❗️ ПОДПИСЫВАЙСЯ НА НАШ КАНАЛ В ДЗЕНЕ И ЧИТАЙ КРУТЫЕ СТАТЬИ БЕСПЛАТНО
Подписывайтесь на наши каналы в Telegram и Дзен, чтобы узнавать больше. И делитесь своим мнением и опытом в нашем чате.
RaaS-вымогатель VECT сломал файлы >128 КБ и стал вайпером ⚡️