一种名为 VanHelsing 的新式多平台绑架软件即劳动（RaaS）操作还是出现云开体育，其抨击指标涵盖 Windows、Linux、BSD、ARM 和 ESXi 系统。

3 月 7 日，VanHelsing 初次在地下网罗坐法平台上进行实施，可使教育较多的会员免费加入，但条目教育较少的恐吓者交纳 5000 好意思元的押金。

CYFIRMA 在上周晚些时代初次纪录了这一新的绑架软件操作，Check Point Research 则进行了更深刻的分析，并于昨日发表讨论呈报。

VanHelsing 里面运作

Check Point 的分析师呈报称，VanHelsing 是一个俄罗斯的网罗坐法花样，该花样谢绝针对独联体（CIS）国度的系统进行抨击。

定约会员概况保留 80% 的赎金，而运营商收取 20% 的佣金。付款通过自动托管系统搞定，该系统带受两个区块链证据来保险安全。

VanHelsing 告白邀请会员加入

被接纳的附庸机构不错拜谒具有无缺操作自动化的面板，同期还能赢得建造团队的凯旋相沿。

从受害者网罗窃取的文献凯旋存储在 VanHelsing 作为的劳动器上。中枢团队宣称，他们会依期进行渗入测试，以确保系统具备一流的安全性和可靠性。

现在，暗网上的 VanHelsing 绑架派系列出了三名受害者，其中两名在好意思国，又名在法国。其中一个受害者是德克萨斯州的一个城市，另外两名受害者是科技公司。

VanHelsing 绑架页面

绑架软件运营商恐吓称，淌若他们的财务条目得不到焕发，将在夙昔几天泄露被盗文献。根据 Check Point 的调查，赎金金额为 50 万好意思元。

VanHelsing   的绑架信

隐身模式

VanHelsing 绑架软件由 C++ 编写，有左证表示它于 3 月 16 日初次在本色环境中部署。

VanHelsing 使用 ChaCha20 算法进行文献加密，为每个文献生成一个 32 字节（256 位）的对称密钥和一个 12 字节的立地数。然后，使用镶嵌的 Curve25519 公钥加密这些值，并将生成的加密密钥 / 立地数对存储在加密文献中。

VanHelsing 对大于 1GB 的文献进行部分加密，但对较小的文献则运行无缺的加密历程。

该坏心软件相沿丰富的 CLI 定制，以便针对每个受害者定制抨击。举例，不错针对特定驱动器和文献夹、限度加密规模、通过 SMB 传播、跳过卷影副本删除，以及启用两相隐身模式。

在平素加密模式下，VanHelsing 会排列文献和文献夹，加密文献内容，并重定名生成的文献，附加 " .vanhelsing " 推广名。

在隐身模式下，绑架软件将加密与文献重定名辩认。由于文献 I/O 模式师法平素系统步履，因此不太可能触发警报。即使安全器具在重定名阶段开动时作念出反映，在第二遍操作时，系数这个词指标数据集也还是被加密了。

隐形加密功能

尽管 VanHelsing 看起来很先进且发展赶紧，但 Check Point 闪耀到了一些代码不锻真金不怕火的问题。其中包括文献推广名不匹配、可能触发双重加密的扬弃列表逻辑无理，以及几个未完了的敕令行标识。尽管存在这些无理，VanHelsing 仍然是一个令东说念主担忧且无间飞腾的恐吓云开体育，正在慢慢受到更多怜惜。