باج‌افزار VolkLocker به دلیل کلید اصلی هاردکد شده، بدون پرداخت باج و به طور رایگان قابل رمزگشایی است!

گروه هکتیویستی طرفدار روسیه با نام CyberVolk (با نام مستعار GLORIAMIST) بار دیگر با یک سرویس جدید باج‌افزار به‌عنوان سرویس (RaaS) به نام باج‌افزار VolkLocker بازگشته است؛ اما این بار یک ضعف فنی جدی باعث شده فایل‌های قربانیان بدون پرداخت باج قابل بازیابی باشند.

بر اساس گزارش SentinelOne، باج‌افزار VolkLocker که با نام CyberVolk 2.x نیز شناخته می‌شود، از آگوست ۲۰۲۵ فعال بوده و قابلیت هدف قرار دادن سیستم‌های Windows و Linux را دارد. این باج‌افزار با زبان Golang توسعه داده شده است.

⚙️ نحوه عملکرد باج‌افزار VolkLocker

اپراتورهایی که قصد ساخت نمونه جدیدی از VolkLocker را دارند، باید اطلاعات زیر را در زمان ساخت وارد کنند:

• آدرس بیت‌کوین

• توکن بات تلگرام

• Chat ID تلگرام

• زمان نهایی پرداخت باج

• پسوند فایل‌های رمزگذاری‌شده

• گزینه‌های خودتخریبی

پس از اجرا، باج‌افزار تلاش می‌کند سطح دسترسی خود را افزایش دهد و سپس اقدام به شناسایی سیستم می‌کند. این مرحله شامل:

• بررسی آدرس MAC برای تشخیص ماشین‌های مجازی (Oracle، VMware)

• فهرست‌کردن دیسک‌ها

• انتخاب فایل‌ها برای رمزگذاری بر اساس تنظیمات داخلی

🔐 الگوریتم رمزگذاری و نقص

باج‌افزار VolkLocker از AES-256 در حالت GCM و ماژول crypto/rand زبان Go برای رمزگذاری استفاده می‌کند. فایل‌ها پس از رمزگذاری با پسوندهایی مانند .locked یا .cvolk ذخیره می‌شوند.

اما بررسی نمونه‌های آزمایشی نشان داده که:

• کلید اصلی رمزگذاری به‌صورت Hard-Coded در باینری قرار دارد

• همان کلید برای رمزگذاری تمام فایل‌ها استفاده می‌شود

• بدتر از آن، کلید اصلی در یک فایل متنی ساده ذخیره می‌شود: