O ransomware VECT 2.0 destrói arquivos de forma irreversível antes mesmo de a vítima decidir pagar o resgate. Uma análise publicada em junho de 2026 revela que falhas de implementação no malware fazem com que qualquer arquivo maior que 128 KB seja permanentemente danificado — sem possibilidade de recuperação, mesmo com o decryptor dos próprios atacantes.
Como o ransomware opera
O VECT 2.0 é um ransomware escrito em C++ que atinge Windows, Linux e ESXi. Ele percorre diretórios acessíveis e criptografa arquivos de negócios — documentos, PDFs, archives, backups, bancos de dados e discos virtuais — usando cifras ChaCha20 IETF. Executáveis do sistema (.exe, .dll, .sys) são deliberadamente ignorados para manter o host funcional.
Após a criptografia, o malware adiciona a extensão .vect ao nome do arquivo. O problema é que a presença dessa extensão indica apenas que o arquivo entrou no pipeline de processamento — não que a criptografia foi concluída com sucesso.
A falha que destrói dados
O VECT 2.0 divide arquivos maiores que 128 KB em quatro quadrantes e criptografa um bloco de 32 KB no início de cada um, usando nonces diferentes. Porém, apenas o último nonce é salvo em disco — os três primeiros são descartados permanentemente. Sem esses nonces, o decryptor não consegue reconstruir as regiões criptografadas.
A análise da Morphisec também identificou problemas adicionais na versão Windows: o ransomware usa buffers de memória compartilhados entre threads concorrentes, causando condições de corrida que podem corromper arquivos, deixar nomes inconsistentes ou gerar gravações parciais. O buffer de criptografia tem 32 KB, mas o limite de roteamento é 128 KB — arquivos entre esses dois tamanhos podem ser processados de forma imprevisível.
| Falha | Efeito |
|---|---|
| Nonces descartados em arquivos grandes | 3 de 4 blocos criptografados ficam irrecuperáveis |
| Buffer de 32 KB vs. limite de 128 KB | Arquivos intermediários correm risco de corrupção |
| Buffers compartilhados entre threads | Condições de corrida geram gravações inconsistentes |
| Metadados mínimos (apenas 12 bytes) | Decryptor não tem informação para recuperar o estado |
Implicações para recuperação
A extensão .vect em um arquivo pode significar qualquer coisa: arquivo apenas renomeado sem criptografia, arquivo criptografado corretamente, ou arquivo irremediavelmente danificado. Ferramentas genéricas de decryptor assumem um formato consistente — quando essa premissa não se sustenta, a recuperação falha.
A descoberta tem paralelos com campanhas de destruição de dados mascaradas como ransomware, onde o objetivo real não é lucrar com resgates, mas causar danos permanentes. No caso do VECT 2.0, a destruição é acidental — resultado de código mal construído —, mas o efeito para a vítima é o mesmo.
Proteção e resposta ao ataque
- Manter backups offline e imutáveis — a única garantia real contra perda de dados
- Implementar detecção comportamental para atividade de criptografia em massa (monitoramento de extensões e I/O)
- Segmentar redes para conter propagação lateral do ransomware
- Em caso de infecção por VECT 2.0, priorizar arquivos menores que 128 KB na tentativa de recuperação
- Não pagar o resgate sem análise forense prévia — para arquivos grandes, o decryptor não funciona
- Considerar ferramentas de recuperação especializadas que avaliem o estado real de cada arquivo .vect