VECT, свежий ransomware-as-a-service, из-за бага фактически превращается в вайпер: он ломает все файлы крупнее 128 КБ так, что их нельзя расшифровать даже при наличии ключа. Об этом рассказали исследователи Check Point Research, разобравшие механику шифрования и ошибки в коде.
VECT впервые заметили в сети в декабре 2025 года. Операторы при этом подают его как «серьёзный» инструмент: заявляют поддержку Windows, Linux и ESXi, партнёрства с другими злоумышленниками и собственную партнёрскую сеть.
Почему VECT не даёт расшифровать файлы больше 128 КБ
Проблема сидит в том, как VECT обрабатывает крупные файлы. По данным Check Point Research, всё, что больше 128 КБ, вредонос делит на четыре чанка и шифрует каждый отдельно.
Для каждого чанка он генерирует случайный nonce на 12 байт. Дальше начинается самое неприятное: все четыре nonce записываются в один общий буфер вывода. Буфер один и адрес один, поэтому каждый следующий nonce перезаписывает предыдущий.
В итоге после завершения операции в файле сохраняется только последний nonce — тот, что относится к четвёртому чанку. Для расшифровки нужны все nonce, но трёх из них уже нет. Поэтому ключ расшифровки не поможет, потому что часть данных, нужных для обратной операции, уничтожена самим шифровальщиком.
Другие ошибки в коде и подозрение на «vibe coding»
