VanHelsing 软件剑指 Windows、ARM 及 ESXi 系统

　　3 月 7 日，VanHelsing初次正在地下收集犯罪平台长进行推广，可使经验较多的会员免费插手，但要求经验较少的者缴纳 5000 美元的押金。

　　软件运营商称，若是他们的财政要求得不到满脚，将正在将来几天泄露被盗文件。赎金金额为 50 万美元。

　　VanHelsing 利用 ChaCha20 算法进行文件加密，为每个文件生成一个 32 字节（256 位）的对称密钥和一个 12 字节的随机数。然后，利用嵌入的 Curve25519 公钥加密这些值，并将生成的加密密钥 / 随机数对存储正在加密文件中。

　　VanHelsing 对大于 1GB 的文件进行部门加密，但对较小的文件则运转完整的加密过程。

　　从者收集窃取的文件间接存储正在 VanHelsing 步履的办事器上。焦点团队声称，他们会按期进行渗入测试，以确保系统具备一流的平安性和靠得住性。

　　目前，暗网上的 VanHelsing 门户列出了三名者，此中两名正在美国，一名正在法国。此中一个者是德克萨斯州的一个城市，别的两名者是科技公司。

　　虽然 VanHelsing 看起来很先辈且成长敏捷，但 Check Point 留意到了一些代码不成熟的问题。此中包罗文件扩展名不婚配、可能触发双沉加密的解除列表逻辑错误，以及几个未实现的号令行标记。虽然存正在这些错误，VanHelsing 仍然是一个令人担心且不竭上升的，正正在逐步遭到更多关心。

　　VanHelsing 软件由 C++ 编写，有显示它于 3 月 16 日初次正在现实中摆设。

　　该恶意软件支撑丰硕的 CLI 定制，以便针对每个者定制。例如，能够针对特定驱动器和文件夹、加密范畴、通过 SMB 、跳过卷影副本删除，以及启用两相现身模式。

　　联盟会员可以或许保留 80% 的赎金，而运营商收取 20% 的佣金。付款通过从动托管系统处置，该系统采用两个区块链确认来保障平安。

　　Check Point 的阐发师演讲称，VanHelsing 是一个俄罗斯的收集犯罪项目，该项目针对独联体（CIS）国度的系统进行。

　　正在现身模式下，因为文件 I/O 模式仿照一般系统行为，因而不太可能触发警报。即便平安东西正在沉定名阶段起头时做出反映，正在第二遍操做时，整个方针数据集也曾经被加密了。

　　CYFIRMA 正在上周晚些时候初次记实了这一新的软件操做，Check Point Research 则进行了更深切的阐发，并于昨日颁发相关演讲。

　　正在一般加密模式下，VanHelsing 会列举文件和文件夹，加密文件内容，并沉定名生成的文件，附加 “。vanhelsing” 扩展名。