VECT 2.0 勒索软件不可逆地销毁 Windows、Linux、ESXi 上超过 131KB 的文件

Source: The Hacker News

概览

威胁猎手警告称，已知的网络犯罪行动 VECT 2.0 更像是擦除工具而非勒索软件，因为其在 Windows、Linux 和 ESXi 变体中的加密实现存在关键缺陷。该缺陷导致即使是威胁行为者本人也无法恢复数据。

VECT 的锁定程序永久销毁大文件而不是对其加密，这意味着即使受害者选择支付赎金，也不太可能重新获得数据访问权限。

技术细节

• 加密缺陷：该勒索软件使用的算法有误，未能正确加密文件，导致数据损坏且无法恢复。
• 受影响平台：
  • Windows
  • Linux
  • VMware ESXi
• 影响：大文件被不可逆地销毁，使攻击实际上成为一次数据擦除行动。

威胁行为者的回应

• 据报道，VECT 2.0 背后的组织甚至无法自行恢复被加密的文件，表明该缺陷存在于勒索软件核心代码中。
• 建议受害者 不要 支付赎金，因为付款并不能保证数据恢复。

对组织的建议

1. 立即隔离受感染系统，防止横向移动。
2. 保留取证证据（内存转储、磁盘镜像），在进行任何修复之前完成。
3. 从备份恢复：确保备份离线且未被破坏。
4. 打补丁并更新 所有系统，特别是运行易受攻击的 Windows、Linux 或 ESXi 版本的系统。
5. 实施网络分段，限制勒索软件的传播范围。

检测与缓解

• 端点检测与响应（EDR） 工具可以标记与 VECT 2.0 相关的异常文件删除行为。
• 网络流量监控 对异常的 SMB 或 RDP 连接进行监测，可帮助识别早期感染阶段。
• 文件完整性监控 能在大文件意外被修改或删除时向管理员发出警报。

结论

VECT 2.0 的加密缺陷使其成为一种破坏性擦除工具，传统的勒索软件恢复方法失效。组织应侧重于预防、快速隔离以及可靠的备份策略，而不是支付赎金。