Ransomware VolkLocker apresenta falha que permite descriptografia gratuita

Ransomware VolkLocker surgiu como mais um serviço de extorsão digital, mas um defeito estrutural inverteu seu objetivo: graças a uma chave mestra exposta no próprio sistema infectado, qualquer analista ou vítima consegue reverter a criptografia sem pagar resgate.

Ransomware VolkLocker: origem e evolução do serviço RaaS

Lançado comercialmente em agosto de 2025, o Ransomware VolkLocker é a segunda geração de um projeto iniciado em 2024 pelo grupo denominado CyberVolk. Na ocasião, o coletivo, que se definia como hacktivista, começou a vender seu malware sob o formato “Ransomware as a Service” (RaaS). Esse modelo de negócio concede a outros criminosos acesso ao código do encriptador mediante pagamento que varia, no caso do VolkLocker, entre 800 e 2.200 dólares conforme a arquitetura (Windows ou Linux) e a quantidade de recursos solicitados.

A primeira documentação pública do predecessor, identificada em junho de 2024, já indicava falta de rigor técnico. Pesquisadores observaram que chaves aleatórias podiam ser aceitas durante a rotina de descriptografia, e o programa não apagava arquivos após tentativas malsucedidas, apesar de ameaças em contrário. A nova versão manteve a promessa de maior “profissionalização”, mas repetiu — e ampliou — erros de implementação.

Como a falha foi descoberta e por que compromete todo o VolkLocker

Na semana anterior a 15 de dezembro de 2025, analistas da SentinelOne publicaram um relatório detalhando testes com amostras do Ransomware VolkLocker. Seus especialistas encontraram três problemas centrais que, combinados, anulam o propósito de extorsão:

1. A chave criptográfica principal está embutida diretamente nos binários; 2. A mesma chave é reutilizada para todos os arquivos em todos os sistemas; 3. Uma cópia em texto simples dessa chave é salva no arquivo system_backup.key, dentro da pasta temporária do usuário, sem jamais ser removida.

O trio de erros torna trivial a extração do segredo necessário para reverter todo o processo. Basta localizar o arquivo de backup — que permanece em C:UsersAppDataLocalTempsystem_backup.key — ou, alternativamente, inspecionar o executável com ferramentas de engenharia reversa. A divulgação pública encerra, na prática, a efetividade do resgate enquanto o grupo não corrigir o código.

Detalhamento técnico da vulnerabilidade no VolkLocker

O Ransomware VolkLocker é escrito em Golang e utiliza o algoritmo AES-256 em modo GCM para criptografar dados. Durante a inicialização, a função backupMasterKey() decodifica uma string hexadecimal de 64 caracteres contida no binário, gerando a chave mestra de 32 bytes. Em seguida, a mesma rotina grava esse segredo em texto puro no diretório temporário do sistema sob o nome já mencionado.

Quando o malware encontra um arquivo que não consta em suas listas de exclusão, ele cria um nonce aleatório de 12 bytes, deleta o original e substitui-o por uma versão cifrada, acrescentando as extensões “.locked” ou “.cvolk”. O uso de um vetor de inicialização diferente a cada arquivo garantiria confidencialidade adicional, mas a decisão de empregar uma única chave para todo o processo transforma o suposto ganho em uma fragilidade absoluta.

A falha não termina aí. Como o VolkLocker salva a chave no próprio sistema da vítima, nem mesmo é necessário decifrar o binário: basta recuperar o arquivo de backup. Especialistas consideram provável que a função de depuração tenha sido mantida por engano em compilações entregues a afiliados que, por sua vez, podem nem perceber a exposição.

Efeitos práticos para vítimas e para a economia do cibercrime

Do ponto de vista das vítimas, o cenário muda drasticamente. Em vez de depender do pagamento dentro de 48 horas — prazo imposto pelo temporizador do VolkLocker —, empresas e usuários domésticos podem executar um procedimento simples: localizar o arquivo system_backup.key, importar a chave ao utilitário de recuperação e reverter a criptografia. Esse passo evita tanto a perda de dados quanto a transferência de valores aos criminosos.

Para o ecossistema de RaaS, o incidente expõe o impacto de uma cadeia de produção acelerada e pouco testada. Operadores que pagaram até 2.200 dólares pelo construtor, esperando um produto “pronto para uso”, agora se deparam com um encriptador incapaz de garantir retorno financeiro. Afiliados menos experientes, alvos do recrutamento agressivo citado pelos analistas, tendem a abandonar o serviço ou exigir revisões, pressionando os desenvolvedores.

Modelo de negócios via Telegram e expansão do ecossistema CyberVolk

Um dos diferenciais comerciais do Ransomware VolkLocker é a dependência quase exclusiva do Telegram. Pelo aplicativo, compradores acessam um bot construtor que gera o payload alinhado à arquitetura desejada, personaliza extensões, mensagem de resgate e temporizador, além de oferecer comandos para gerenciar vítimas: iniciar descriptografia, listar sistemas comprometidos ou enviar instruções específicas.

Desde novembro de 2025, o mesmo canal passou a vender módulos autônomos de trojan e keylogger ao preço de 500 dólares cada, com descontos para pacotes. A estratégia amplia o portfólio do grupo, mas a falha recém-descoberta lança dúvidas sobre a qualidade de todas as ferramentas produzidas.

Associações paralelas e atividades anteriores do grupo

O CyberVolk mantém ligações com outros coletivos. Entre agosto e setembro de 2024, o ransomware Invisible — também chamado Doubleface — surgiu como desdobramento de integrantes da Double Alliance e da Moroccan Black Cyber Army, partilhando base de código com o VolkLocker. Outra família, o HexaLocker, apareceu em julho de 2024 com vínculos ao LAPSUS$. Já em outubro de 2024, anúncios no mesmo ecossistema promoveram o Parano Ransomware v1, oferecendo cifragem híbrida AES-128 e RSA-4096 a 400 dólares.

Em paralelo às vendas, o CyberVolk conduziu a chamada Operação #OpJP entre setembro e outubro de 2024, direcionada a órgãos governamentais e infraestrutura crítica no Japão. As ofensivas combinaram ransomware e ataques DDoS contra instituições como a Japan Meteorological Agency, reforçando motivações geopolíticas ligadas a disputas nas Ilhas Curilas e sanções aplicadas a Moscou após a invasão da Ucrânia.

Mecanismos adicionais de coerção e persistência

Ainda que o defeito de cifragem facilite a recuperação dos arquivos, o VolkLocker implementa diversas rotinas de sabotagem. O malware tenta escalar privilégios contornando o Controle de Conta de Usuário (UAC), apaga cópias de sombra de volume para impedir restaurações e finaliza processos associados ao Microsoft Defender Antivirus. Modificações no Registro buscam dificultar análise forense ou recuperação do sistema.

O temporizador embutido adiciona outra camada de pressão. Caso o pagamento não seja efetuado em 48 horas ou a vítima insira a chave errada três vezes, o ransomware apaga integralmente o conteúdo das pastas Documentos, Desktop, Downloads e Imagens. A funcionalidade, entretanto, perde força diante da possibilidade de descriptografia gratuita, desde que a chave mestra seja extraída rapidamente.

Próximos passos enquanto o erro persiste

A análise mais recente, datada de 15 de dezembro de 2025, indica que builds defeituosos continuam circulando sem correção. Até que o CyberVolk ou seus afiliados publiquem uma nova versão sem a função backupMasterKey(), a recomendação técnica permanece: localizar o arquivo system_backup.key, extrair a chave mestra e restaurar todos os dados afetados pelo Ransomware VolkLocker.