باجافزار VECT 2.0 یکی از نمونههای نگرانکننده تهدیدات مدرن است که نهتنها فایلها را رمزنگاری کرده، بلکه بهدلیل خطاهای فنی جدی، دادهها را بهصورت غیرقابلبازگشت و دائم حذف میکند. بررسیهای منتشرشده توسط Check Point Research و Halcyon نشان میدهد باجافزار VECT 2.0 بهجای یک فرآیند رمزنگاری استاندارد، عملاً به یک Wiper تبدیل شده و حتی پرداخت باج نیز هیچ کمکی به بازیابی دادهها نمیکند.
باجافزار VECT 2.0 چیست و چرا خطرناک است؟
طبق گزارشهای منتشرشده، باجافزار VECT 2.0 در قالب یک مدل Ransomware-as-a-Service (RaaS) فعالیت میکند و نسخههایی برای سیستمعاملهای Windows، Linux و ESXi توسعه داده است.
با این حال، آنچه این عملیات را متمایز میکند، یک خطای فنی در پیادهسازی فرآیند رمزنگاری آن است؛ خطایی که باعث میشود حتی در صورت پرداخت باج نیز، امکان بازیابی دادهها عملاً وجود نداشته باشد.
طبق تحلیل Halcyon، ساختار رمزنگاری بهگونهای طراحی شده که اطلاعات لازم برای بازگردانی فایلها در جریان حمله از بین میرود. در نتیجه، حتی اپراتورهای حمله نیز قادر به ارائه کلید معتبر برای بازیابی نیستند.
حذف دائمی کلیدهای رمزنگاری
در حالت عادی، باجافزارها پس از رمزنگاری فایلها، کلید رمزنگاری را ذخیره میکنند تا در صورت پرداخت باج، امکان بازیابی وجود داشته باشد.
اما در باجافزار VECT 2.0 یک خطای برنامهنویسی مهم این فرآیند را مختل میکند:
- فایلهای بالاتر از 128 کیلوبایت هدف قرار میگیرند.
- چهار کلید رمزنگاری تولید میشود.
- سه کلید اول بهصورت ناخواسته بازنویسی (Overwrite) و حذف میشوند.
در نتیجه، کلیدهای رمزگشایی بهطور کامل از بین میروند و هیچ مسیر بازیابی باقی نمیماند.
پژوهشگران تأکید کردهاند که بازیابی کامل دادهها برای هیچ فردی، حتی خود مهاجمان، امکانپذیر نیست. این موضوع بهطور مستقیم نشان میدهد که پرداخت باج هیچ تأثیری در بازگردانی اطلاعات نخواهد داشت.
باجافزار VECT 2.0؛ ظاهر حرفهای، پیادهسازی ضعیف
با وجود تلاش این گروه برای نمایش یک عملیات حرفهای، تحلیل فنی نشان میدهد باجافزار VECT 2.0 دارای خطاهای متعدد در طراحی و پیادهسازی است:
- خطای حافظه در Full Mode: در حالت Full Mode، به دلیل یک خطای حافظه، تنها فایلهای کوچکتر از 32 کیلوبایت رمزنگاری میشوند و بخش عمده دادهها عملاً پردازش نمیگردند.
- نادیده گرفتن حالتهای رمزنگاری: تنظیمات مربوط به حالتهای fast، medium و secure در مرحله تحلیل (Parse) توسط کد پردازش میشوند، اما در مرحله اجرا کاملاً نادیده گرفته میشوند.
- خطای مدیریت Thread: بدافزار تلاش میکند صدها Thread (رشته اجرایی) را بهصورت همزمان اجرا کند. این طراحی اشتباه باعث ایجاد فشار شدید (Overload) روی سیستم شده و در نهایت بهجای افزایش سرعت حمله، عملکرد سیستم را کاهش میدهد.
- ضعف درObfuscation : مهاجمان برای مخفیسازی رشتهها از تکنیک XOR String Obfuscation استفاده کردهاند، اما به دلیل یک خطای محاسباتی، این مکانیزم بهدرستی عمل نکرده و رشتهها دوباره به متن ساده (Plaintext) تبدیل شدهاند.
عملکرد نسخه ویندوز در باجافزار VECT 2.0
نسخه ویندوز این تهدید مجموعهای از اقدامات هدفمند را برای کنترل فایلها و آمادهسازی محیط جهت رمزنگاری اجرا میکند:
- فایلها را با افزودن پسوند .vect تغییر نام (Rename) میدهد تا دادههای آلودهشده بهصورت مشخص قابل شناسایی شوند.
- پردازههای مرتبط با برنامههای کاربردی مانند exe، Winword.exe و Outlook.exe را بهصورت اجباری متوقف (Terminate) میکند تا دسترسی به فایلهای در حال استفاده آزاد شود.
- پس از آزادسازی دسترسی فایلها، دادهها را برای عملیات رمزنگاری در اختیار گرفته و فرآیند رمزنگاری را روی آنها اجرا میکند.
همکاری با TeamPCP و حملات زنجیره تأمین
با وجود ضعفهای فنی، این گروه از طریق همکاری با TeamPCP توانسته است چندین حمله را بهمرحله اجرا برساند.
در مارس 2026، مهاجمان با بهرهگیری از مدل حمله زنجیره تأمین (Supply Chain Attack)، بدافزار خود را در ابزارهای پرکاربرد توسعهدهندگان از جمله Trivy، Checkmarx KICS، LiteLLM و Telnyx پنهان کردند.
همچنین گزارشها نشان میدهد این گروه با ارائه دسترسی و دعوت به همکاری، تلاش کرده است برخی از اعضای BreachForums را نیز به شبکه عملیاتی خود جذب کند.
جمعبندی
بر اساس گزارش Check Point Research، با وجود پوشش چندسکویی، برنامه همکاری فعال و پنل مدیریتی حرفهای، پیادهسازی فنی در VECT 2.0 بهمراتب ضعیفتر از چیزی است که در ظاهر ارائه میشود.
باجافزار VECT 2.0 بهدلیل حذف دائم کلیدهای رمزنگاری عملاً به یک Wiper تبدیل شده است؛ بنابراین حتی پرداخت باج نیز هیچ امکان فنی برای بازیابی دادهها ایجاد نمیکند و قربانیان دسترسی خود به اطلاعات را بهطور کامل از دست میدهند.
