如果你的文件被加密,付钱就能拿回来吗?一款正在暗网兜售的新型恶意软件,正在让这个问题变得毫无意义——它根本不是在加密,而是在销毁。
网络安全公司Check Point的最新研究发现,名为VECT 2.0的勒索软件变种存在一个致命缺陷:由于随机数处理错误,任何大于128KB的文件都会被永久破坏。这意味着受害者即使支付赎金,也无法恢复数据。
128KB门槛:现代办公文件的"死亡线"
128KB是什么概念?一封带附件的邮件、一份普通Word文档、一张工作截图,几乎都会超过这个体积。Check Point在报告中指出:"在这个阈值下,所谓的'大文件'不仅包括虚拟机磁盘、数据库和备份,还涵盖日常文档、电子表格和邮箱。实际上,受害者想要恢复的任何文件几乎都不会低于这个边界。"
研究人员解释,问题出在"随机数"(nonce)的处理方式上。加密过程需要这些随机值来确保数据能被正确解密,但VECT 2.0在分割大文件时,没有为每个数据块分配新的随机数空间,而是重复使用了同一内存地址。结果就是:前面的随机数被不断覆盖,只有文件最后一块保留了正确的"钥匙"。
「它丢失了文件大部分区域的密钥,」Check Point描述道,「只有最后一部分可以恢复,其余部分被永久销毁。」
这种技术缺陷让VECT 2.0从勒索软件变成了数据擦除工具——一种更纯粹、更恶意的破坏形式。
暗网营销与现实功能的错位
颇具讽刺意味的是,这款软件正在以"勒索软件即服务"(RaaS)的模式在暗网论坛推广,招揽分销合作伙伴。开发者显然没有向买家披露这个核心缺陷。
Check Point发现,VECT近期与TeamPCP建立了合作关系。后者是一个新兴威胁组织,已成功攻击Trivy、LiteLLM、Telnyx以及欧盟委员会等目标。这种组合意味着:下游攻击者可能并不知道自己部署的"勒索软件"实际上正在摧毁受害者的恢复希望。
对于RaaS生态而言,这是一个危险的信号。分销商依赖赎金分成获利,但如果受害者发现付钱也无济于事,整个勒索谈判的基础就会崩塌。更长远来看,这可能迫使企业彻底放弃"付费恢复"的选项,转而强化预防性投入。
当"故障"成为攻击特征
VECT 2.0的案例揭示了一个被忽视的趋势:恶意软件的技术缺陷正在重塑攻击的实质影响。传统的勒索软件经济学建立在"可恢复性"之上——攻击者需要让受害者相信付钱有用,才能持续获利。但当加密机制本身失效,这套逻辑就被打破了。
Check Point没有说明这一缺陷是开发者的疏忽,还是故意为之。两种可能性指向不同的威胁图景:如果是代码质量问题,说明地下软件供应链的品控正在影响攻击效果;如果是刻意设计,则意味着数据破坏本身正在成为目的,而非勒索的手段。
无论哪种情况,企业面临的应对策略都需要调整。备份恢复成为唯一可靠的防线,而"是否支付赎金"的决策框架正在失去意义——当恢复概率趋近于零,谈判桌上的筹码已经消失。
数据收束:一个值得警惕的转折点
VECT 2.0的128KB阈值覆盖了现代办公环境中绝大多数有价值的数据类型。Check Point的检测数据显示,这一缺陷影响的文件范围远超典型勒索软件的"高价值目标"清单——它触及的是日常运营的每一个数字触点。
从Trivy到欧盟委员会,TeamPCP的攻击目标跨度表明,这种"破坏性勒索"正在进入主流威胁场景。对于安全团队而言,这意味着两个紧迫动作:验证备份的隔离性与可恢复性,以及在事件响应流程中剔除"赎金谈判"这一选项——因为对方手里根本没有钥匙。
热门跟贴