一种名为 VanHelsing 的新型多平台勒索软件即服务（RaaS）操作已经出现，其攻击目标涵盖 Windows、Linux、BSD、ARM 和 ESXi 系统。

3 月 7 日，VanHelsing首次在地下网络犯罪平台上进行推广，可使经验较多的会员免费加入，但要求经验较少的威胁者缴纳 5000 美元的押金。

CYFIRMA 在上周晚些时候首次记录了这一新的勒索软件操作，Check Point Research 则进行了更深入的分析，并于昨日发表相关报告。

VanHelsing内部运作

Check Point 的分析师报告称，VanHelsing 是一个俄罗斯的网络犯罪项目，该项目禁止针对独联体（CIS）国家的系统进行攻击。

联盟会员能够保留 80% 的赎金，而运营商收取 20% 的佣金。付款通过自动托管系统处理，该系统采用两个区块链确认来保障安全。

VanHelsing 广告邀请会员加入

被接受的附属机构可以访问具有完整操作自动化的面板，同时还能获得开发团队的直接支持。

从受害者网络窃取的文件直接存储在 VanHelsing 行动的服务器上。核心团队声称，他们会定期进行渗透测试，以确保系统具备一流的安全性和可靠性。

目前，暗网上的 VanHelsing 勒索门户列出了三名受害者，其中两名在美国，一名在法国。其中一个受害者是德克萨斯州的一个城市，另外两名受害者是科技公司。

VanHelsing 勒索页面

勒索软件运营商威胁称，如果他们的财务要求得不到满足，将在未来几天泄露被盗文件。根据 Check Point 的调查，赎金金额为 50 万美元。

VanHelsing 的勒索信

隐身模式

VanHelsing 勒索软件由 C++ 编写，有证据显示它于 3 月 16 日首次在实际环境中部署。

VanHelsing 使用 ChaCha20 算法进行文件加密，为每个文件生成一个 32 字节（256 位）的对称密钥和一个 12 字节的随机数。然后，使用嵌入的 Curve25519 公钥加密这些值，并将生成的加密密钥 / 随机数对存储在加密文件中。

VanHelsing 对大于 1GB 的文件进行部分加密，但对较小的文件则运行完整的加密过程。

该恶意软件支持丰富的 CLI 定制，以便针对每个受害者定制攻击。例如，可以针对特定驱动器和文件夹、限制加密范围、通过 SMB 传播、跳过卷影副本删除，以及启用两相隐身模式。

在正常加密模式下，VanHelsing 会枚举文件和文件夹，加密文件内容，并重命名生成的文件，附加 “.vanhelsing” 扩展名。

在隐身模式下，勒索软件将加密与文件重命名分离。由于文件 I/O 模式模仿正常系统行为，因此不太可能触发警报。即使安全工具在重命名阶段开始时做出反应，在第二遍操作时，整个目标数据集也已经被加密了。

隐形加密功能

尽管 VanHelsing 看起来很先进且发展迅速，但 Check Point 注意到了一些代码不成熟的问题。其中包括文件扩展名不匹配、可能触发双重加密的排除列表逻辑错误，以及几个未实现的命令行标志。尽管存在这些错误，VanHelsing 仍然是一个令人担忧且不断上升的威胁，正在逐渐受到更多关注。

参考及来源：https://www.bleepingcomputer.com/news/security/new-vanhelsing-ransomware-targets-windows-arm-esxi-systems/