{"id":629636,"date":"2026-05-05T14:30:00","date_gmt":"2026-05-05T17:30:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/05\/ransomware-destroi-arquivos-mesmo-apos-pagamento-aponta-estudo\/"},"modified":"2026-05-05T14:30:00","modified_gmt":"2026-05-05T17:30:00","slug":"ransomware-destroi-arquivos-mesmo-apos-pagamento-aponta-estudo","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/05\/05\/ransomware-destroi-arquivos-mesmo-apos-pagamento-aponta-estudo\/","title":{"rendered":"Ransomware destr\u00f3i arquivos mesmo ap\u00f3s pagamento, aponta estudo"},"content":{"rendered":"<p>O ransomware VECT 2.0 apresenta uma falha de programa\u00e7\u00e3o que destr\u00f3i arquivos mesmo ap\u00f3s o pagamento do resgate. Pesquisadores da Check Point Research (CPR) identificaram que, para grandes arquivos, a chave de criptografia necess\u00e1ria n\u00e3o \u00e9 salva corretamente, tornando in\u00fateis as tentativas de recupera\u00e7\u00e3o.<\/p>\n<p>Segundo a CPR, o malware utiliza um modelo ransomware-as-a-service, com desenvolvedores oferecendo a ferramenta a afiliados em troca de parte do lucro. A falha foi encontrada em todas as tr\u00eas vers\u00f5es analisadas pelo laborat\u00f3rio de seguran\u00e7a.<\/p>\n<p>A descoberta mostra que, para arquivos acima de 128 KB, o conte\u00fado \u00e9 dividido em quatro partes e cada uma recebe uma chave distinta. Contudo, apenas a chave da \u00faltima parte \u00e9 armazenada; as demais s\u00e3o sobrescritas e apagadas, impossibilitando a reconstru\u00e7\u00e3o das informa\u00e7\u00f5es.<\/p>\n<p>Como consequ\u00eancia, tr\u00eas quadrantes de cada arquivo grande tornam-se inacess\u00edveis de forma permanente. Documentos, planilhas, bancos de dados e backups podem ser afetados, enquanto itens menores que passam de 128 KB tendem a ficar criptografados corretamente, mas com impacto limitado.<\/p>\n<p>A CPR confirmou que a falha est\u00e1 presente nas vers\u00f5es para Windows, Linux e ESXi, desde a primeira detec\u00e7\u00e3o do malware em campo, antes mesmo da vers\u00e3o 2.0. O quebranto n\u00e3o foi corrigido at\u00e9 o momento.<\/p>\n<p>Al\u00e9m das falhas nas chaves, a an\u00e1lise aponta problemas adicionais no c\u00f3digo. Campos de criptografia, apresentados como op\u00e7\u00f5es de velocidade, n\u00e3o s\u00e3o obedecidos pelo malware, que usa par\u00e2metros fixos. O uso de XOR para ocultar partes do c\u00f3digo tamb\u00e9m \u00e9 inadequado, deixando trechos expostos.<\/p>\n<p>O relat\u00f3rio indica ainda que o gerenciador de threads gera centenas de tarefas simult\u00e2neas, o que pode degradar o desempenho. A CPR observa discrep\u00e2ncias entre o que o grupo promete e o que de fato funciona na pr\u00e1tica.<\/p>\n<p>O VECT se apresenta com apar\u00eancia profissional, com um painel de controle funcional e parcerias anunciais, como a com BreachForums, que facilitou o acesso de membros ao ransomware. Contudo, a avalia\u00e7\u00e3o t\u00e9cnica revela falhas estruturais graves.<\/p>\n<p>Em rela\u00e7\u00e3o \u00e0 opera\u00e7\u00e3o, a CPR destacou que as falhas podem ser corrigidas em futuras vers\u00f5es, mas, por ora, v\u00edtimas que pagam o resgate n\u00e3o recuperam os dados, pois as chaves foram destru\u00eddas durante o ataque. A cadeia de distribui\u00e7\u00e3o j\u00e1 est\u00e1 montada para uma poss\u00edvel escalada dos ataques.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Pesquisadores da Check Point Research identificaram uma falha de programa\u00e7\u00e3o no VECT 2.0 que apaga as chaves de criptografia de arquivos acima de 128 KB, tornando in\u00fatil qualquer pagamento de resgate.<\/li>\n<li>O erro ocorre nas tr\u00eas vers\u00f5es analisadas e faz com que os arquivos sejam destru\u00eddos permanentemente, mesmo que a v\u00edtima pague.<\/li>\n<li>O VECT funciona como ransomware\u2011as\u2011a\u2011service, com afiliados; o grupo abriu o programa em dezembro de 2025 e teve v\u00edtimas no Brasil e na \u00c1frica do Sul em 2026.<\/li>\n<li>Parcerias com TeamPCP e BreachForums ampliaram o alcance, incluindo ataques de cadeia de suprimentos a ferramentas como Trivy, LiteLLM e Telnyx.<\/li>\n<li>O relat\u00f3rio tamb\u00e9m aponta outros problemas no c\u00f3digo, como uso incorreto de ChaCha20\u2011Poly1305, implementa\u00e7\u00e3o de XOR para ocultar c\u00f3digo e gest\u00e3o de threads falha, com par\u00e2metros de criptografia fixos.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":629642,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Erro de programa\u00e7\u00e3o no VECT 2.0 apaga chaves de arquivos acima de 128 KB, tornando o pagamento de resgate in\u00fatil","footnotes":""},"categories":[296,1],"tags":[84,104,85,98,189],"class_list":["post-629636","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-acontecimentos-internacionais","tag-apps","tag-inovacao","tag-pesquisa","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/629636","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=629636"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/629636\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/629642"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=629636"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=629636"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=629636"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}