O ransomware VolkLocker carrega uma contradição curiosa: apesar de ter sido criado para extorquir vítimas, a ferramenta apresenta erros tão básicos que tornam possível recuperar arquivos sem o pagamento do resgate. Mantido pelo grupo cibercriminoso CyberVolk, o malware sofre com falhas de implementação que enfraquecem completamente seu modelo de negócio.
De acordo com um relatório recente da SentinelOne, o VolkLocker, também chamado de CyberVolk 2.x, surgiu em agosto de 2025 e tem como alvo sistemas Windows e Linux. O ransomware é desenvolvido em Golang e comercializado no modelo RaaS (Ransomware as a Service), com preços que variam entre 800 e 2.200 dólares, dependendo da versão e da arquitetura suportada.
Apesar de relativamente novo, o projeto já nasceu problemático. Ainda em 2024, análises da Rapid7 identificaram falhas que permitiam acionar a descriptografia com chaves aleatórias, além de ameaças que simplesmente não se concretizavam caso a vítima inserisse uma chave incorreta.
Erros críticos expõem a criptografia do VolkLocker
A análise mais recente identificou três falhas graves que comprometem totalmente a segurança do ransomware. As chaves de criptografia estão embutidas diretamente no binário, o que permite sua extração por qualquer analista com conhecimentos básicos de engenharia reversa. Além disso, uma única chave mestra é usada para criptografar todos os arquivos de todas as vítimas, em vez de gerar chaves únicas por arquivo ou sistema.
O erro mais bizarro é que o próprio ransomware salva essa chave mestra em texto simples em um arquivo chamado system_backup.key, armazenado na pasta temporária do Windows. Esse arquivo não é removido em nenhum momento da execução, o que facilita ainda mais a recuperação dos dados.
O problema está concentrado na função backupMasterKey(), executada logo na inicialização do malware. Na prática, é como se o criminoso deixasse a chave do cofre escrita em um papel ao lado do cofre arrombado.
Como funciona a criptografia — e onde tudo dá errado
O VolkLocker utiliza criptografia AES-256 em modo GCM para bloquear arquivos. A chave mestra, com 32 bytes, é decodificada a partir de uma string hexadecimal fixa embutida no código. Essa mesma chave é aplicada a todos os arquivos da vítima e, simultaneamente, gravada no arquivo system_backup.key dentro do diretório temporário do sistema.
Especialistas acreditam que esse comportamento seja um resquício de testes internos que acabou sendo incluído nas builds de produção. Isso indica falhas sérias de controle de qualidade e sugere que os operadores do CyberVolk estão recrutando afiliados sem experiência técnica suficiente.
Os payloads são distribuídos sem ofuscação nativa, e os operadores recomendam o uso de empacotadores como UPX, em vez de fornecerem mecanismos próprios de proteção do código.
Comportamento do malware no sistema
Após ser executado, o VolkLocker tenta escalar privilégios no Windows, contornando o Controle de Conta de Usuário para obter acesso administrativo. Em seguida, realiza reconhecimento do ambiente, verificando endereços MAC e chaves de registro associadas a ambientes virtualizados, como VMware e VirtualBox.
O malware define quais arquivos serão criptografados com base em listas internas de exclusão de caminhos e extensões. Para cada arquivo, gera um nonce aleatório de 12 bytes e cria uma cópia criptografada, apagando o original e adicionando extensões como .locked ou .cvolk.
O processo lembra uma máquina de triturar documentos que, ironicamente, guarda a receita da trituração em um local público.
Ameaças reais: temporizador e destruição de dados
Mesmo com falhas que favorecem as vítimas, o VolkLocker continua sendo perigoso. O ransomware altera o Registro do Windows, remove cópias de sombra de volume e encerra processos ligados ao Microsoft Defender e a outras ferramentas de segurança.
O diferencial mais agressivo é o temporizador embutido. Se o resgate não for pago em até 48 horas ou se a vítima errar a chave de descriptografia três vezes, o malware apaga completamente pastas como Documentos, Área de Trabalho, Downloads e Imagens. Esse mecanismo aumenta drasticamente a pressão psicológica sobre o usuário.
Ransomware como serviço operado via Telegram
Toda a operação do CyberVolk gira em torno do Telegram. A venda, o suporte e o controle dos ataques são feitos por meio de bots e painéis automatizados dentro do aplicativo. Os compradores conseguem personalizar o ransomware, gerar payloads e até interagir com as vítimas sem sair da plataforma.
Os preços variam conforme o suporte a Windows, Linux ou ambos. Em 2025, o grupo também passou a vender trojans e keyloggers separadamente, além de oferecer pacotes com desconto para quem adquire múltiplas ferramentas.
Relações com outros grupos e campanhas reais
O CyberVolk mantém conexões com outros grupos hacktivistas e famílias de malware. Ransomwares como Invisible, Doubleface, HexaLocker e Parano compartilham código, técnicas e até configurações semelhantes, indicando uma base de desenvolvimento comum.
Em 2024, o grupo ganhou destaque ao conduzir a operação #OpJP, uma campanha coordenada de ransomware e ataques DDoS contra órgãos governamentais e instituições de infraestrutura crítica no Japão. As ações foram amplamente divulgadas pelos próprios criminosos em redes sociais e canais de mensagens, como forma de propaganda e intimidação.
O caso do VolkLocker mostra como a sofisticação aparente de um ransomware pode esconder falhas básicas de engenharia. Apesar de perigoso e destrutivo, o malware evidencia que nem todo ataque é tecnicamente impecável. Para profissionais de segurança, ele também reforça um ponto importante: entender o funcionamento interno das ameaças ainda é uma das formas mais eficazes de neutralizá-las.
