Если вы не видите здесь изображений, то используйте VPN.

четверг, 26 марта 2026 г.

Vect, Vect 2.0

Vect Ransomware

Vect 2.0 Ransomware

(шифровальщик-вымогатель, RaaS

Translation into English


Vect 2.0 Ransomware

 Этот крипто-вымогатель шифрует данные пользователей с помощью алгоритма ChaCha20, а затем требует выкуп, чтобы вернуть файлы. Оригинальное название: Vect Ransomware. Написан на C++. Реализованы версии для Windows, Linux и ESXi. 
---
 Обнаружения:
DrWeb -> Trojan.Encoder.44641
BitDefender -> Trojan.GenericKD.79790997
ESET-NOD32 -> Win64/Filecoder.AJK Trojan
Kaspersky -> HEUR:Trojan-Ransom.Win32.Generic
Malwarebytes -> Crypt.Trojan.MSIL.DDS
Microsoft -> Ransom:Win32/Avaddon.P!MSR
Rising -> Malware.Undefined!8.C (TFE:5:srMXcmKa5V)
Tencent -> Malware.Win32.Gencirc.10c44f90
TrendMicro -> Ransom.Win64.TRANCEV.THDBHBF
---
© Генеалогия: родство выясняется >> Vect, Vect 2.0


Сайт "ID Ransomware" идентифицирует Vect с 28 апреля 2026.



Информация для идентификации

Активность этого крипто-вымогателя началась в конце 2025 — начале 2026 г. Ориентирован на англоязычных пользователей, может распространяться по всему миру. Сектор атакованных компаний: финансы, образование, логистика, здравоохранение, производство и др. Страны атакованных компаний: ЮАР, Индия, Бразилия, США, Намибия, Эквадор и др. 

К зашифрованным файлам добавляется расширение: .vect

 Записка с требованием выкупа называется: !!!_READ_ME_!!!.txt

Vect 2.0 Ransomware note, записка о выкупе

Содержание записки о выкупе:
!!! README !!!
Dear Management, all of your files have been encrypted with ChaCha20 which is an unbreakable encryption algorithm.
Sadly, this is not the only bad news for you. We have also exfiltrated your sensitive data, consisting mostly of databases, backups and other personal information
from your company and will be published on our website if you do not cooperate with us.
The only way to recover your files is to get the decryption tool from us.
To obtain the decryption tool, you need to:
1. Open Tor Browser and visit: -
2. Follow the instructions on the chat page
3. Receive a sample decryption of up to 4 small files
4. We will provide payment instructions
5. After payment, you will receive decryption tool
WARNING:
- Do not modify encrypted files
- Do not use third party software to restore files
- Do not reinstall system
If you violate these rules, your files will be permanently damaged.
Files encrypted: -
Total size: 121417406 bytes
Unique ID: ***
Backup contact (Qtox): 1A51DCBB33***


Записка вымогателей также написана на изображении, заменяющем обои Рабочего стола: 
Vect 2.0 Ransomware wallp-note





Внимание! Новые элементы идентификации: расширения, email, записки о выкупе можно найти в конце статьи, в обновлениях. Они могут отличаться от первого варианта. 

Технические детали + IOC

 Может распространяться путём взлома через незащищенную конфигурацию RDP, с помощью email-спама и вредоносных вложений, обманных загрузок, ботнетов, эксплойтов, вредоносной рекламы, веб-инжектов, фальшивых обновлений, перепакованных и заражённых инсталляторов. См. также "Основные способы распространения криптовымогателей" на вводной странице блога.

➤ Vect Ransomware как RaaS впервые появился на русскоязычном кибер-форуме в декабре 2025 года. В начале 2026 года группа вымогателей сообщила о первых двух жертвах и привлекла к себе внимание заявлением на BreachForums о партнерстве с TeamPCP, стоящей за несколькими атаками в марте 2026 года. Операторы Vect ищут "партнеров" через BreachForums, раздают ключи доступа в личных сообщениях. Согласно отчету Data Security Council of India (DSCI), с новичков они берут $250 в Monero, но с кандидатов из стран СНГ плату не взимают.

➤ Исключения: 
Vect завершает работу без шифрования файлов, если обнаруживает, что работает в любой из стран СНГ и даже Украине, что редко встречается в атаках после 2022 года. В Check Point считают, что это может указывать на старую кодовую базу или на генерацию части кода с помощью ИИ, обученного на устаревших данных.

➤ Особенности версий: 
Версия для Windows шифрует локальные, съемные и сетевые диски, проверяет наличие 44 ИБ-инструментов и отладчиков, закрепляется в системе через Safe Mode и содержит шаблоны скриптов для латерального перемещения. ESXi-вариант перед шифрованием запускает геофенсинг и антиотладочные проверки, а также пытается распространяться через  SSH. Linux-версия, в свою очередь, использует ту же кодовую базу, что и ESXi, однако обладает урезанным набором функций.

➤ Критическая ошибка: 
Check Point сообщают, что в версии Vect 2.0 для Windows, Linux и ESXi содержится критический баг. Вредонос разбивает каждый крупный файл (> 128 Кб, т.е. 131 072 байта) на четыре части и шифрует их независимо, генерируя для каждого блока свой "nonce" (размером в 12-байт), записывая все значения в один и тот же буфер памяти, в результате чего каждый новый "nonce" перезаписывает предыдущий, а первые три теряются: не сохраняются в файле и не отправляются операторам. Таким образом Vect 2.0 не только шифрует, но уничтожает примерно 75% содержимого файла. Уплата выкупа бесполезна, дешифратор не поможет, данные безнадёжно повреждены.

✋ Внимание! Если вы пренебрегаете комплексной антивирусной защитой класса Internet Security или Total Security, то хотя бы делайте резервное копирование важных файлов по методу 3-2-1

 Список типов файлов, подвергающихся шифрованию:
Это документы MS Office, OpenOffice, PDF, текстовые файлы, базы данных, фотографии, музыка, видео, файлы образов, архивы и пр.

Файлы, связанные с этим Ransomware:
!!!_READ_ME_!!!.txt - название файла с требованием выкупа;
dp6fd66.exe -  название вредоносного файла. 

 Расположения:
\Desktop\ ->
\User_folders\ ->
\%TEMP%\ ->

 Записи реестра, связанные с этим Ransomware:
См. ниже результаты анализов.

 Мьютексы:
См. ниже результаты анализов.

 Сетевые подключения и связи:
Email: -
BTC: -
См. ниже в обновлениях другие адреса и контакты. 

 Результаты анализов: 
IOC: VT, HA, IA, TG, AR, VMR, JSB
MD5: aa72609186042f1d7d01ce070306a9f2
SHA-1: e27f4feffc1ba6bf4e35aec4a5270fccb636e5cf
SHA-256: e512d22d2bd989f35ebaccb63615434870dc0642b0f60e6d4bda0bb89adee27a
Vhash: 0160a76d1565555c0d1d10c5zc00715d037z19z55z37z
Imphash: d810a3536bf9eca80e4f8d1d08537d0b


 Степень распространённости: низкая.
Информация дополняется. Присылайте образцы.


=== ИСТОРИЯ СЕМЕЙСТВА === HISTORY OF FAMILY ===
=== БЛОК ОБНОВЛЕНИЙ === BLOCK OF UPDATES ===

 Обновлений не было или не добавлены.


=== БЛОК ССЫЛОК и СПАСИБОК = BLOCK OF LINKS AND THANKS ===
 Read to links: 
 Message + Message + Message
 Write-up, Write-up, Write-up, Topic of Support
 ***

 Thanks: 
 CheckPoint, TheHackerNews, BleepingComputer, Xakep.ru
 Andrew Ivanov (article author)
 ***
 to the victims who sent the samples

© Amigo-A (Andrew Ivanov): All blog articles. Contact.
на

Комментариев нет:

Отправить комментарий

ВНИМАНИЕ!
Новые комментарии проверяются. Всё, кроме спама, будет опубликовано. Вам нужен Google аккаунт для комментария.
---
Please note!
New comments are moderated. Anything other than spam will be published. You need a Google account to post a comment.
---
Bitte beachten Sie!
Neue Kommentare werden moderiert. Alle Kommentare, die kein Spam sind, werden veröffentlicht. Sie benötigen ein Google-Konto, um einen Kommentar zu hinterlassen.
---
Veuillez noter!
Les nouveaux commentaires sont modérés. Tous les commentaires, à l'exception des spams, seront publiés. Vous devez disposer d'un compte Google pour publier un commentaire.
---
¡Tenga en cuenta!
Los nuevos comentarios son moderados. Se publicarán todos los comentarios excepto el spam. Para escribir un comentario necesitas una cuenta de Google.