勒索软件变数据擦除器：付费也拿不回文件

128KB。这是Vect勒索软件的分界线——超过这个大小的文件，不是被加密，而是被永久销毁。Check Point Research的研究人员发现，这个犯罪团伙在代码里埋了个"业余级"bug，把勒索软件写成了数据擦除器。受害者即使付了赎金，也拿不回任何东西。

供应链攻击的连锁反应

今年3月开始，一波针对开发者工具的供应链攻击席卷科技行业。Trivy（容器漏洞扫描器）、LiteLLM（大语言模型路由工具）、Checkmarx（代码安全平台）、Telnyx（云通信服务）相继被感染。攻击者TeamPCP在这些工具中植入了自我传播的凭据窃取恶意软件。

Vect是这个链条上的勒索环节。3月起，他们开始在BreachForums上招募合作伙伴，放话要"把这些入侵串联成毁灭性的后续勒索行动"。4月15日，他们声称攻陷了Guesty（700GB数据）和S&P Global（250GB数据），但这两家公司均未回应置评请求。

Vect的泄露网站自1月以来列出了25个组织，其中4个是3月后的新受害者。Check Point的Eli Smadja表示，这些声称"无法独立核实"，也没有 visibility 能确认多少案例真正支付了赎金、多少数据被直接泄露。

代码解剖：一个低级错误如何毁掉所有数据

Check Point的研究人员注册了BreachForums账号，获取了Vect的勒索软件构建面板。分析结论很直白："技术不复杂"、"业余执行"。

问题出在文件处理逻辑。Vect 2.0在加密时设了一个阈值：131,072字节（128KB）。超过这个大小的文件，代码没有执行加密，而是直接覆盖销毁。

这意味着什么？企业虚拟机磁盘、数据库、文档、备份——几乎所有包含有价值数据的文件，都超过了128KB。Check Point的分析师写道："完全恢复对任何人来说都是不可能的，包括攻击者自己。"

勒索软件的核心商业模式是"可逆的伤害"：加密你的数据，收钱后解密。Vect把这个基础逻辑搞砸了。他们制造的是不可逆的破坏，却还在按勒索软件的剧本要价。

勒索软件即服务的民主化悖论

Vect的商业模式本身也值得拆解。他们与BreachForums达成了平台级合作：任何注册用户都能使用Vect的勒索软件、谈判平台和网站。

这是勒索软件即服务（Ransomware-as-a-Service）的极端版本。技术门槛被压到最低，犯罪工具的获取变得像注册SaaS账号一样简单。但质量门槛也被压到了最低——代码审查？不存在的。

TeamPCP和Vect在论坛上的合作宣言很直白："我们会搞出更大的供应链行动。"供应链攻击提供初始入侵，Vect负责后续变现。这个分工模式降低了单点技术难度，却引入了协调成本和质量风险。

Check Point的发现揭示了一个讽刺的现实：当犯罪工具变得足够"民主化"，连开发者自己都可能被自己的工具反噬。Vect的受害者拿不到数据，Vect自己也拿不到——因为数据已经没了。

企业防御的切入口在哪里

从Check Point的分析倒推，企业可以抓住几个明确的防御点。

第一，供应链工具的完整性监控。Trivy、LiteLLM这类工具被广泛用于CI/CD流程，一旦感染，恶意代码会随着构建过程自动传播。传统的边界防御在这里失效，需要针对构建环节的行为检测。

第二，文件系统的异常写入模式。Vect的bug导致大文件被覆盖而非加密，这在磁盘I/O层面会呈现不同的特征——覆盖操作通常比加密更快、更连续。实时监控可以捕捉到这种异常。

第三，勒索软件的谈判策略调整。Check Point的发现提供了一个关键情报：针对Vect的勒索，付费没有价值。企业需要建立威胁情报的快速响应机制，在谈判窗口期内获取这类技术细节。

Vect的案例还暴露了一个更深层的问题：勒索软件生态的分化。高端团伙（如LockBit、BlackCat）有成熟的软件工程和质量控制，而低端RaaS服务则充斥着Vect这种"业余执行"。企业在评估威胁时，不能只看攻击向量，还要看攻击者的技术成熟度——后者直接决定了伤害的可逆性。

当勒索变成纯粹的破坏

Vect的bug可能是无意的，但它指向了一个趋势：勒索软件与数据擦除器的界限正在模糊。2021年Colonial Pipeline事件后，美国政府对勒索软件的打击加剧，一些团伙开始转向"伪勒索"——即声称加密、实则销毁，或者根本不提供解密工具。

Vect的案例是技术无能导致的"意外擦除"，但效果是一样的：企业支付了赎金，却换不回数据。这种不对称性会从根本上动摇勒索软件的经济模型。如果受害者普遍意识到付费无效，勒索软件的变现率会崩溃。

Check Point的研究人员没有预测Vect会因此退出市场。相反，他们强调了BreachForums合作带来的扩散风险：更多低技术水平的攻击者会加入，制造更多不可逆的伤害。

对于被攻击的企业来说，这意味着备份策略的优先级被极端拉高。不是"有备份就行"，而是需要离线、不可变、频繁测试的备份体系——因为当Vect这样的团伙敲门时，你的生产数据可能已经不存在了。

128KB的阈值，成了一个残酷的筛选器。小文件（配置文件、日志片段）可能被加密后恢复，大文件（数据库、虚拟机、设计资产）则直接消失。企业的数据资产分布，决定了伤害的分布。

如果勒索软件的"业余化"继续蔓延，我们是否会进入一个"付费无用"的新常态？企业的勒索响应手册，恐怕需要重写。