Операторы программы-вымогателя VECT активно вербуют партнёров с конца декабря 2025 года, а первые жертвы появились уже в январе 2026-го. К началу мая 2026 года на сайтах утечек зафиксировано 25 публичных требований выкупа. Этот шифровальщик позиционируется как услуга (Ransomware-as-a-Service) с поддержкой Windows, Linux и VMware ESXi. Однако детальный анализ последней версии 2.0 выявил любопытную особенность: файлы размером до 131 072 байт теоретически можно расшифровать без участия злоумышленников, а вот крупные документы, архивы и базы данных восстановить с диска уже нельзя. Причина - не ошибка в коде, а особенность реализации алгоритма шифрования.
Описание
Исследователи опубликовали подробный разбор механизмов VECT 2.0 ещё 28 апреля 2026 года. Их отчёт стал основой для самостоятельного изучения одного из образцов. Эксперты подтвердили, что шифровальщик использует сырой алгоритм ChaCha20-IETF (потоковый шифр с симметричным ключом). Для файлов больше 131 Кбайт вредоносная программа разбивает данные на четыре равных блока по 32 Кбайт и шифрует каждый отдельно, генерируя для каждого блока свой уникальный одноразовый код nonce (12-байтовая случайная строка, определяющая начальную точку шифропотока). Проблема в том, что после обработки всех четырёх блоков в конец файла записывается только nonce последнего, четвёртого блока. Первые три nonce просто перезаписываются в памяти до того, как попадают на диск. Таким образом, восстановить данные без знания всех четырёх nonce невозможно.
В ходе тестов с контрольным образцом программы-вымогателя (файл vect.exe размером около 1,4 Мбайт, собранный 13 февраля 2026 года, с внутренней маркировкой VECT 2.0) специалистам удалось проверить обе ситуации. Для маленького файла - например, отчёта quarterly-planning.docx размером менее 131 Кбайт - расшифровка прошла успешно. Статический ключ, вшитый в тело вредоносной программы, и сохранённый в конце файла nonce позволили восстановить исходные байты. Проверка совпала: хеш расшифрованных данных полностью совпал с хешом оригинала. Но для крупного архива large-archive.zip (2 097 152 байт) ситуация оказалась иной. В файле были найдены четыре зашифрованных блока, но только последний блок удалось расшифровать с использованием сохранённого nonce. Остальные три не поддались - их nonce на диске не было.
Образец также показал типичный для современных вымогателей набор действий после запуска. Программа отключает защиту Windows Defender с помощью встроенной команды PowerShell, удаляет теневые копии томов через vssadmin, чистит журналы событий, устанавливает ключи автозагрузки в реестре и меняет обои рабочего стола. Вредоносная программа способна распространяться по сети через групповые политики (GPO) и встроенные средства удалённого запуска - WMI и PowerShell Remoting. Кроме того, в теле исполняемого файла обнаружены жёстко прописанные учётные данные: имя администратора и пароль (LAB\Administrator:P@ssw0rd123!), что облегчает первоначальное заражение.
Отдельного внимания заслуживает контекст, в котором работает VECT. Исследователи из компаний Wiz и Unit 42 ранее описывали активность группы TeamPCP, которая занималась компрометацией цепочек поставок средств безопасности и разработки (Trivy, KICS, LiteLLM и других). Эта группа похищала учётные данные для облачных сред, SSH-ключи, токены Kubernetes и CI/CD-инструментов. Связь между TeamPCP и VECT не доказана, но совпадение по времени и методам вызывает тревогу. Операторы доступа вполне могли использовать похищенные ключи для развёртывания шифровальщика в уже скомпрометированных сетях. Это означает, что реальная угроза от VECT может быть гораздо серьёзнее, чем кажется на первый взгляд.
В сети также появилась информация о якобы существующем публичном декрипторе для VECT. Пользователь DarkWebInformer разместил в Twitter ссылку на репозиторий с инструментом, который якобы восстанавливает файлы. Однако анализ показал, что этот декриптор ориентирован на совершенно другой формат: он ожидает nonce в начале файла, использует аутентифицированное шифрование ChaCha20-Poly1305 и работает с расширением .vect1. Образец VECT 2.0, изученный экспертами, использует сырой ChaCha20 без аутентификации, nonce в конце файла и расширение .vect. Совместимости нет. Доверять такому декриптору не стоит.
Что делать жертвам? В первую очередь - не удалять зашифрованные файлы и не пытаться запускать на них непроверенные инструменты. Если процесс шифрования ещё активен, следует немедленно снять дамп оперативной памяти: он может содержать недостающие nonce для крупных файлов. Для маленьких файлов (до 131 Кбайт) при наличии статического ключа восстановление возможно без взаимодействия с вымогателями. Однако встроенный ключ - это версия конкретного образца; в других сборках VECT 2.0 он может быть другим. Главный вывод: полноценный возврат данных возможен только из резервных копий. Платный декриптор у вымогателей не сможет восстановить то, что никогда не было записано на диск.
Таким образом, VECT 2.0 - не самый технически сложный шифровальщик, но его реализация наглядно демонстрирует, как одна небрежность в коде (перезапись nonce) превращает потенциально восстанавливаемые данные в безвозвратно повреждённые. И это не баг - это архитектурное решение, которое делает крупные файлы жертв фактически недоступными без резервной копии.
Индикаторы компрометации
Onion Domains
- vectordntlcrlmfkcm4alni734tbcrnd5lk44v6sp4lqal6noqrgnbyd.onion
MD5
- 207b1a60f803d348c795d382f5aed9c3
SHA1
- f4b904fb6ba8474cb87f26302b74c4b82c106003
SHA256
- 8ee4ec425bc0d8db050d13bbff98f483fff020050d49f40c5055ca2b9f6b1c4d
- b9f4c4bad3a8262ade99cfb6785df34afe8aff9a2652026d2350238e265ed458
- dd2105e5d97add32151d3340022e7bcb2ddefb2c635725a5fea2327c38a2d4bd
- f5bfd20eda559537e560cd31409f2345afd8de92a41d40beb1ff3064779615c0
