Falha no ransomware VolkLocker permite recuperar arquivos sem pagar resgate

O grupo de hackerativistas pró-Rússia CyberVolk (também chamado de GLORIAMIST) voltou com um novo ransomware-as-a-service (RaaS) chamado VolkLocker, malware pago que encripta os arquivos da vítima e pede resgate sob ameaça de apagar tudo dentro de algumas horas. Uma falha na implementação, no entanto, permite desencriptar e recuperar os ficheiros sem pagar nada.

• O que é phishing e como se proteger?
• "Violência como Serviço": Ransomware evolui para sequestro e ameaças físicas

A pesquisa sobre o RaaS é da empresa de segurança SentinelOne, que descobriu a atividade em agosto de 2025. O ransomware é capaz de afetar sistemas Windows e Linux e foi escrito na linguagem Golang. O serviço requer dos hackers um endereço bitcoin, token de bot do Telegram, ID de chat do Telegram, prazo de encriptação, extensão de arquivos alvo e opções de autodestruição.

Funcionamento e falha do ransomware

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

Após infectar o computador da vítima, o ransomware tenta escalar privilégios, faz um reconhecimento no sistema e até checa o endereço MAC local para evitar programas de virtualização, como Oracle e VMWare. Em seguida, lista todos os drivers disponíveis e determina quais arquivos serão encriptados com base na configuração dada pelo hacker.

A encriptação é feita com AES-256 no modo Galois/Counter, através do pacote crypto/rand. Os arquivos encriptados recebem extensões como .locked ou .cvolk.

O problema para os golpistas é que há uma falha crítica: a chave-mestra do ransomware fica hard-coded nos arquivos binários, mas também é usada na encriptação dos arquivos da vítima, e ainda fica escrita em texto corrido na pasta %TEMP% (C:UsersAppDataLocalTempsystem_backup.key).

Com isso, o usuário afetado pode simplesmente encontrar a chave e usá-la para liberar os arquivos sem pagar nada. De resto, o funcionamento do ransomware é padrão, deletando arquivos espelhados e encerrando processos do Microsoft Defender Antivirus para evitar detecção, por exemplo. 

novidade fica por conta do contador que apaga o conteúdo do computador nas pastas Documentos, Desktop, Downloads e Imagens caso o resgate não seja pago dentro de 48 horas.

As operações de RaaS do grupo CyberVolk são feitas no Telegram e custam entre US$ 800 (R$ 4.320 na cotação atual) e US$ 1.100 (R$ 5.940) para versões de Windows ou Linux, ou entre US$ 1.600 (R$ 8.640) e US$ 2.200 (R$ 11.880) para ambos. O ransomware incluiu automação via Telegram para contatar vítimas, pegar informações do sistema e muito mais.

Em novembro deste ano, os hackers também anunciaram trojans de acesso remoto e keyloggers custando US$ 500 (R$ 2.700) cada. O grupo começou suas atividades com RaaS em junho de 2024, conduzindo ataques DDoS e ransomware em governos e entidades públicas em apoio a interesses do governo russo: acredita-se que o grupo tenha origem na Índia.

Veja também no Canaltech:

• Torrent do novo filme de Leonardo DiCaprio é armadilha de malware para Windows
• Extensões maliciosas do Visual Studio Code escondem trojan em imagens PNG falsas
• Hackers usam malware para infectar computadores com o Notepad++

VÍDEO | Como se proteger do ataque ransomware WannaCrypt

Fonte: SentinelOne