新型VECT 2.0勒索软件会破坏Windows、Linux和ESXi上超过128KB的文件-夜雨聆风

新型VECT 2.0勒索软件会破坏Windows、Linux和ESXi上超过128KB的文件

一种名为 VECT 2.0 的新勒索软件因其设计上的严重缺陷而引起了网络安全界的高度关注。

与典型勒索软件（锁定文件并要求支付赎金以解密）不同，VECT 2.0 会永久销毁任何大于 128 KB 的文件，即使受害者支付赎金也无法恢复。

VECT 勒索软件于 2025 年 12 月首次出现在一个俄语网络犯罪论坛上，以勒索软件即服务（RaaS）模式运作。

该组织声称于 2026 年 1 月感染了首批两名受害者，并于 2026 年 2 月发布了 2.0 版本，将其攻击范围扩展到 Windows、Linux 和 VMware ESXi 系统。

2026 年 3 月，VECT 宣布与 TeamPCP（一个幕后供应链攻击的威胁行为者，曾向包括 Trivy、Checkmarx KICS、LiteLLM 和 Telnyx 在内的广泛使用的包中注入恶意软件，影响大量下游用户）合作，该恶意软件因此获得了更高的关注度。

Check Point Research 分析师通过一个 BreachForums 账户获得了构建面板的访问权限，从而识别并分析了全部三种 VECT 2.0 变种。

他们的调查发现，VECT 还与 BreachForums 本身建立了合作关系，允许每个注册的论坛成员免费作为附属机构部署该勒索软件。

这种开放附属机构模式免去了通常的审查流程，大大降低了经验不足的攻击者加入该操作的门槛。

该勒索软件使用 C++ 编写，通过共享公共代码库的静态编译可执行文件，针对所有三个平台。

每个变种都通过 libsodium 加密库使用 ChaCha20-IETF (RFC 8439) 密码，并将加密后的文件重命名为 .vect 扩展名，在每个受感染的系统上留下名为 !!!READ_ME!!!.txt 的赎金说明。

尽管其构建面板看起来很完善，但技术执行方面远未达到专业开发的勒索软件工具的水平。

VECT 2.0 最令人担忧的方面是一个关键的编码缺陷，这实际上使其变成了一个数据擦除器。

任何超过 131,072 字节（128 KB）的文件都无法被正确加密，而是变得永久不可恢复，这正是组织赖以维持运营的核心资产。

问题的核心在于 VECT 2.0 在文件加密过程中处理加密随机数（nonce）时的基本错误。

当恶意软件处理一个大文件时，它会将其分成四个块，并使用新生成的随机 12 字节 nonce 对每个块进行加密。

所有四个加密调用都将它们的 nonce 写入同一个共享内存缓冲区，这意味着每个新的 nonce 都会覆盖前一个。

到加密完成时，只有第四个（最后一个）块的 nonce 幸存下来，并被写入磁盘上的加密文件中。

由于 ChaCha20-IETF 解密需要同时使用加密密钥和完全匹配的 nonce 来反转每个块，因此每个大文件的前四分之三内容对任何人都无法恢复。

在三种变种中，被丢弃的 nonce 都不会保存在磁盘上、注册表中，也不会发送到攻击者的服务器。即使受害者全额支付赎金，操作者也无法提供可用的解密器，因为解密所需的 nonce 在缓冲区被覆盖的那一刻就已永久丢失。

仅 128 KB 的阈值，几乎涵盖了所有有意义的文件类型，从虚拟机磁盘映像、数据库到备份、电子表格和电子邮件存档。

Check Point Research 确认，该缺陷存在于所有三种平台变种中，并且在 2.0 版本发布之前就已存在，在早期部署中从未被修复。

组织应保持离线、物理隔离的备份，使其无法通过网络共享或横向移动被访问。

监控批量进程终止、突然的影子副本删除以及大量文件被重命名为 .vect 扩展名，可以提供主动感染预警。

鉴于 VECT 与 TeamPCP 的合作关系，验证第三方软件依赖项的完整性也是关键一步。

安全团队应关注基于 PowerShell 的 Windows Defender 禁用、事件日志清除活动以及异常的安全模式启动配置更改——这些都是该勒索软件的关键行为指标。