Pesquisadores de segurança revelaram que o novo ransomware VolkLocker, atribuído ao grupo pró-russo CyberVolk, contém uma falha crítica que permite às vítimas recuperar seus arquivos sem pagar o resgate. O erro está na implementação do mecanismo de criptografia, que expõe a chave mestra usada para trancar os dados. O VolkLocker surgiu recentemente como uma oferta de ransomware-as-a-service (RaaS) voltada para sistemas Windows e Linux. A ameaça vem sendo distribuída por afiliados por meio de campanhas maliciosas automatizadas, com comandos e notificações gerenciados via bots do Telegram.
No entanto, uma falha no código comprometeu toda a operação. Durante a análise técnica, especialistas descobriram que o malware usa uma única chave AES-256-GCM para criptografar todos os arquivos, e essa chave é gravada em texto claro no sistema infectado. O arquivo, chamado system_backup.key, é salvo no diretório temporário (%TEMP%), o que facilita sua extração e uso para reverter o ataque. Com essa descoberta, é possível realizar a descriptografia dos arquivos de forma gratuita, sem a necessidade de contato com os operadores do ransomware. A falha representa um golpe severo para os afiliados da campanha, já que elimina o principal ponto de pressão sobre as vítimas: o bloqueio irreversível dos dados.
O ransomware também inclui recursos como persistência no sistema, tentativa de elevação de privilégios e coleta de informações do ambiente da vítima. Apesar desses recursos avançados, o erro na criptografia mostra que os operadores ainda enfrentam dificuldades em garantir sigilo operacional. Afiliados podiam configurar detalhes como o endereço de recebimento em Bitcoin, token de controle e até o sufixo dos arquivos criptografados. Essas opções eram disponibilizadas por um painel simplificado conectado ao Telegram, evidenciando a facilidade de uso mesmo para atacantes menos experientes. Analistas consideram que o VolkLocker não representa mais uma ameaça efetiva, desde que os responsáveis pela resposta ao incidente consigam agir rapidamente e capturar a chave antes que ela seja removida. Em muitos casos, a chave ainda estará presente no sistema mesmo após reinicializações.
