北京
一个被当作勒索软件兜售的恶意程序,正在暗网论坛上招揽生意。但安全研究人员发现,它的加密机制存在致命缺陷——受害者即使支付赎金,文件也永远无法恢复。
这不是营销话术,而是一个真实的代码漏洞。网络安全公司Check Point的最新报告指出,名为VECT 2.0的勒索软件变体,本质上是一个数据擦除工具,而非加密工具。
一个"丢失钥匙"的技术失误
问题的核心在于"随机数"(nonce)的处理方式。随机数是加密过程中使用的临时随机值,相当于解锁文件的钥匙。正常的勒索软件会为文件的每个加密区块生成并保存独立的随机数,确保后续能够完整解密。
但VECT 2.0的代码选择了另一条路径:它将大文件分割成多个区块进行加密,却在内存中重复使用同一个随机数存储位置。每处理一个新区块,前一个区块的随机数就被覆盖。
Check Point的研究人员解释了这一后果:「只有文件的最后一部分可以被恢复,其余部分已被永久销毁。」这意味着威胁行为者手中根本没有完整的解密密钥,即使他们愿意帮助受害者,技术上也无法做到。
更讽刺的是,这个漏洞完全公开——任何人分析代码都能发现。但VECT仍在暗网以"勒索软件即服务"(RaaS)的模式推广,吸引附属合作伙伴。
128KB:一个荒谬的阈值
VECT 2.0对"大文件"的定义,让情况雪上加霜。
Check Point发现,该恶意软件将128KB设为文件大小阈值。超过这一容量的文件,都会触发上述有缺陷的分块加密机制。在2025年的数字环境中,这个阈值低得离谱。
Check Point在报告中警告:「在仅128KB的阈值下——小于一封典型邮件附件或办公文档——代码所定义的'大文件'不仅包括虚拟机磁盘、数据库和备份,还涵盖日常文档、电子表格和邮箱。实际上,受害者希望恢复的内容几乎没有任何一项低于这个界限。」
一张普通手机照片通常3-5MB。一份Word文档轻松突破200KB。企业数据库和虚拟机镜像更是以GB计。128KB的门槛意味着:几乎所有有价值的文件都会在被"加密"的同时被销毁。
这与传统勒索软件形成鲜明对比。典型勒索软件会精心保留文件完整性,因为威胁行为者的商业模式依赖于"支付赎金→提供解密工具→恢复文件"的完整链条。文件损毁等于自断财路。
谁在背后运营?
VECT并非孤立运作。Check Point的调查显示,该勒索软件正在与TeamPCP合作——这是一个相对新兴但已积累显著"战绩"的威胁行为者组织。
TeamPCP的攻击名单包括:Trivy(开源安全扫描工具)、LiteLLM(大语言模型路由平台)、Telnyx(云通信服务商),以及欧洲委员会。这些目标横跨开源工具、AI基础设施、企业服务和政府机构,显示出该组织广泛的攻击面和快速扩张的野心。
VECT在暗网论坛上的营销策略是典型的RaaS模式:提供恶意软件基础设施,吸引附属机构执行实际入侵,按赎金收入分成。这种模式降低了网络犯罪的门槛,但也意味着运营者可能并不直接控制每一次攻击的具体执行。
这里的悖论在于:如果VECT的运营者明知软件无法解密却仍继续推广,他们是在故意欺诈附属机构和受害者;如果他们同样不知情,则暴露了整个地下供应链的技术质量失控。无论哪种情况,当前的VECT 2.0都不具备勒索软件的基本功能——可逆的加密。
"破损"勒索软件的兴起意味着什么
VECT 2.0并非首个被发现的"破损"勒索软件,但它揭示了地下经济中的一个新动态:技术门槛降低后,质量管控正在崩解。
早期的勒索软件市场由技术精湛的团队主导,他们投入大量精力确保加密可靠性,因为声誉直接关系到赎金支付率。但如今,开源代码、自动化构建工具和RaaS模板的泛滥,让缺乏技术深度的新进入者也能快速"创业"。
结果是双重伤害:受害者损失数据且无法通过支付赎金挽回;而整个勒索软件生态的可信度——如果这个词适用的话——也在被侵蚀。当受害者意识到"支付可能无用",整个商业模式的基础就会动摇。
但这并不意味着威胁减轻。相反,数据擦除攻击的心理冲击和实际损害,往往比可恢复的加密更严重。对于没有完善备份的企业,VECT 2.0造成的后果与最恶意的破坏者无异。
Check Point的发现也提出了一个操作层面的问题:安全研究人员和执法机构是否应该公开披露这类漏洞?披露可能阻止部分受害者支付赎金,但也可能促使运营者修复缺陷,使下一版本更加危险。在VECT的案例中,公开报告似乎已是既成事实——漏洞过于明显,无法依赖"安全 through 模糊"策略。
防御者的现实选择
面对VECT 2.0这类威胁,传统的"是否支付赎金"决策框架已经失效。当解密在技术上不可能时,讨论赎金只是浪费时间。
Check Point的报告没有提供具体的入侵指标(IoC)或技术细节,但强调了标准防御措施的重要性:可靠的离线备份、网络分段、端点检测和响应(EDR)工具,以及及时的补丁管理。这些建议并不新鲜,但在"破损"勒索软件的场景下,备份的不可替代性被进一步放大。
对于安全团队而言,VECT 2.0的案例还提供了一个内部沟通素材:向管理层解释为什么备份预算不能被压缩。当威胁行为者自身都无法提供"售后服务"时,企业唯一能依赖的就是自己的恢复能力。
暗网论坛上的RaaS广告仍在继续。VECT的运营者可能会修复这个特定的随机数处理漏洞,也可能直接放弃这个项目,用新名字重启。无论哪种路径,当前版本的受害者都已经无法挽回。
数据收束:128KB。这个不到半首MP3文件大小的数字,正在成为区分"可恢复"与"永久丢失"的残酷边界。在VECT 2.0的逻辑中,它覆盖了从个人照片到企业数据库的几乎全部数字资产。当勒索软件的加密承诺本身成为谎言,防御的底线就只剩下一条:假设任何文件都可能被不可逆地销毁,并据此构建你的备份策略。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
