新型VanHelsing勒索软件瞄准Windows、ARM和ESXi系统

一种名为VanHelsing的新型多平台勒索软件即服务（RaaS）操作近期浮出水面，其目标包括Windows、Linux、BSD、ARM和ESXi系统。

该恶意软件于3月7日首次在地下网络犯罪平台上推广，为经验丰富的合作伙伴提供免费加入通道，而经验不足的威胁行为者则需要缴纳5000美元的保证金。

CYFIRMA首次记录了这一新型勒索软件，Check Point Research则发布了更深入的分析报告。

Check Point的分析师报告称，VanHelsing 具有俄罗斯背景。其收益分配机制显示，合作伙伴可以保留80%的赎金，而运营商则抽取20%。资金流转通过具备双重区块链确认的自动托管系统完成。

攻击者获得的管理面板支持全流程自动化操作，并享有开发团队的直接技术支援。所有窃取数据均存储于运营方服务器，核心团队声称定期开展渗透测试以确保系统安全可靠。

目前，VanHelsing在暗网勒索门户列出了三名受害者，其中两名在美国，一名在法国。其中一名受害者是德克萨斯州的一个城市，另外两家是科技公司。

VanHelsing的勒索页面VanHelsing的勒索页面（来源：BleepingComputer）

VanHelsing威胁称，如果他们的赎金要求得不到满足，将在未来几天内泄露窃取的文件。根据Check Point的调查，赎金要求为50万美元。

VanHelsing的勒索信VanHelsing的勒索信（来源：Check Point）

VanHelsing 采用 C++ 编写，有证据表明它于3 月 16 日首次在野部署。

加密机制方面，VanHelsing采用 ChaCha20 算法，为每个文件生成一个32字节（256位）的对称密钥和一个12字节的随机数，然后通过嵌入的 Curve25519 公钥加密后存储在加密文件中。对 1GB 以上大文件实施部分加密策略，对较小的文件则进行完整加密。

该恶意软件支持丰富的命令行界面（CLI）定制，以便根据受害者定制攻击，例如针对特定驱动器和文件夹、限制加密范围、通过SMB传播、跳过影子副本删除以及启用两阶段隐身模式。

在正常加密模式下，VanHelsing枚举文件和文件夹，加密文件内容，并将生成的文件重命名为附加“.vanhelsing”扩展名的文件。在隐身模式下，勒索软件将加密与文件重命名分离，由于文件 I/O 模式模仿正常系统行为，降低了被安全工具检测的概率。即便在重命名阶段触发警报，整个目标的核心数据也已完成加密。

隐身加密模式功能隐身加密功能（来源：Check Point）

虽然VanHelsing看起来先进且发展迅速，但是Check Point也发现其代码不成熟的迹象。包括：文件扩展名逻辑存在冲突；排除列表机制可能导致重复加密；部分命令行参数未实现。

安全专家警告，尽管存在技术瑕疵，该勒索软件凭借多平台支持和隐身特性，极有可能在短期内形成规模化威胁。