Entschlüsselung unmöglich: Ransomware-Panne führt zu Datenverlust
Opfer der Vect-Ransomware sollten besser gar nicht erst darüber nachdenken, mit den Angreifern über eine mögliche Lösegeldzahlung zu verhandeln. Wie Sicherheitsforscher von Check Point Research herausgefunden haben(öffnet im neuen Fenster), hat die Ransomware in der seit Februar verfügbaren Version 2.0 einen Bug, der eine Wiederherstellung bei vielen wichtigen Dateien ohnehin unmöglich macht.
Betroffen sind den Angaben zufolge Systeme auf Basis von Windows, Linux und VMware ESXi. Dafür entwickelte Vect-Varianten nutzen laut Check Point alle dieselbe Verschlüsselungsimplementierung. Für Dateien ab einer Größe von 128 KByte ist die jedoch fehlerhaft, so dass die Ransomware diese effektiv vernichtet.
Um die Verschlüsselung zu beschleunigen, teilt Vect 2.0 größere Dateien in vier Teile auf und verschlüsselt diese unter Einsatz von vier verschiedenen 12-Byte-Nonce-Werten. Letztere werden jedoch den Forschern zufolge nach der Verwendung alle an die gleiche Pufferadresse geschrieben, so dass die ersten drei Nonce-Werte jeweils überschrieben werden und nur der letzte übrig bleibt.
Von der Ransomware zum Wiper
Drei von vier Teilen der verschlüsselten Dateien mit einer Größe von 128 KByte oder mehr lassen sich also nie wieder entschlüsseln. "Die ersten drei Nonces, die zur Entschlüsselung ihres jeweiligen Chunks erforderlich sind, werden generiert, verwendet und stillschweigend verworfen. Sie werden niemals auf der Festplatte oder in der Registrierung gespeichert oder an den Betreiber übertragen", schreiben die Forscher.
Damit werde Vect 2.0 praktisch zu einem Wiper – also einer rein datenlöschenden Malware – für nahezu jede Datei, die wichtige Daten enthalte, wie beispielsweise VM-Datenträger, Datenbanken, Back-up-Dateien oder größere Dokumente. Lösegeldverhandlungen sind damit überflüssig. Selbst wenn sie wollten, könnten die Angreifer die Daten nicht vollständig wiederherstellen.
Vergleichbare Ransomware-Pannen
Dies ist nicht die erste Entdeckung dieser Art. Auch bei den Ransomware-Varianten Sicarii und Nitrogen wurden in den letzten Monaten Bugs aufgedeckt, die unerwartete Datenverluste zur Folge haben und dadurch jegliche Lösegeldverhandlungen mit den Angreifern zu einem unsinnigen Unterfangen machen.
Bei Vect handelt es sich um eine seit Dezember 2025 bestehende Ransomware-as-a-Service-Operation. Die Ransomware kann also von verschiedenen Cyberakteuren verwendet werden. Erst im März hatten die Betreiber eine Kooperation mit TeamPCP angekündigt – einer berüchtigten Hackergruppe, die zuletzt mit mehreren Supply-Chain-Angriffen auf namhafte Softwareprojekte in Verbindung gebracht wurde.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.