一種名為VanHelsing的新型多平臺勒索軟件即服務(wù)（RaaS）操作已經(jīng)出現(xiàn)，其目標(biāo)包括Windows、Linux、BSD、ARM和ESXi系統(tǒng)。

VanHelsing于3月7日首次在地下網(wǎng)絡(luò)犯罪平臺上推廣，為有經(jīng)驗(yàn)的合作伙伴提供免費(fèi)加入的機(jī)會，而經(jīng)驗(yàn)不足的威脅行為者則需要繳納5000美元的保證金。

這一新型勒索軟件操作由CYFIRMA在上周晚些時(shí)候首次記錄，而Check Point Research則在昨天發(fā)布了更深入的分析報(bào)告。

VanHelsing的內(nèi)部運(yùn)作

Check Point的分析師報(bào)告稱，VanHelsing是一個(gè)俄羅斯網(wǎng)絡(luò)犯罪項(xiàng)目，禁止針對獨(dú)聯(lián)體（CIS）國家的系統(tǒng)。

合作伙伴可以保留80%的贖金，而運(yùn)營商則抽取20%。付款通過一個(gè)自動托管系統(tǒng)處理，該系統(tǒng)使用兩次區(qū)塊鏈確認(rèn)以確保安全。

VanHelsing邀請合作伙伴加入的廣告來源：Check Point

被接受的合作伙伴可以訪問一個(gè)具有完全操作自動化的面板，同時(shí)還能獲得開發(fā)團(tuán)隊(duì)的直接支持。

從受害者網(wǎng)絡(luò)中竊取的文件直接存儲在VanHelsing操作的服務(wù)器上，而核心團(tuán)隊(duì)聲稱他們定期進(jìn)行滲透測試，以確保頂級的安全性和系統(tǒng)可靠性。

目前，VanHelsing在暗網(wǎng)上的勒索門戶列出了三名受害者，其中兩名在美國，一名在法國。其中一名受害者是德克薩斯州的一個(gè)城市，另外兩家是科技公司。

VanHelsing的勒索頁面來源：BleepingComputer

勒索軟件運(yùn)營商威脅稱，如果他們的財(cái)務(wù)要求得不到滿足，將在未來幾天內(nèi)泄露竊取的文件。根據(jù)Check Point的調(diào)查，贖金要求為50萬美元。

VanHelsing的勒索信來源：Check Point

隱身模式

VanHelsing勒索軟件是用C++編寫的，有證據(jù)表明它于3月16日首次在野外部署。

VanHelsing使用ChaCha20算法進(jìn)行文件加密，為每個(gè)文件生成一個(gè)32字節(jié)（256位）的對稱密鑰和一個(gè)12字節(jié)的隨機(jī)數(shù)。

然后，這些值使用嵌入的Curve25519公鑰進(jìn)行加密，生成的加密密鑰/隨機(jī)數(shù)對存儲在加密文件中。

VanHelsing對大于1GB的文件進(jìn)行部分加密，但對較小的文件則運(yùn)行完整的加密過程。

該惡意軟件支持豐富的命令行界面（CLI）定制，以便根據(jù)受害者定制攻擊，例如針對特定驅(qū)動器和文件夾、限制加密范圍、通過SMB傳播、跳過影子副本刪除以及啟用兩階段隱身模式。

在正常加密模式下，VanHelsing枚舉文件和文件夾，加密文件內(nèi)容，并將生成的文件重命名為附加“.vanhelsing”擴(kuò)展名的文件。

在隱身模式下，勒索軟件將加密與文件重命名分離，這不太可能觸發(fā)警報(bào)，因?yàn)槲募蘒/O模式模仿了正常的系統(tǒng)行為。

隱身加密功能來源：Check Point

即使安全工具在重命名階段開始時(shí)做出反應(yīng)，在第二次通過時(shí)，整個(gè)目標(biāo)數(shù)據(jù)集已經(jīng)被加密。

盡管VanHelsing看起來先進(jìn)且發(fā)展迅速，但Check Point注意到一些揭示代碼不成熟的缺陷。

這些缺陷包括文件擴(kuò)展名不匹配、排除列表邏輯中的錯(cuò)誤可能觸發(fā)雙重加密過程，以及幾個(gè)未實(shí)現(xiàn)的命令行標(biāo)志。

盡管存在錯(cuò)誤，VanHelsing仍然是一個(gè)令人擔(dān)憂的新興威脅，或許很快就會開始獲得關(guān)注。