内容摘要：一种名为VanHelsing的新型多平台勒索软件即服务RaaS）操作已经出现，其目标包括Windows、Linux、BSD、ARM和ESXi系统。VanHelsing于3月7日首次在地下网络犯罪平台上

一种名为VanHelsing的新型i系新型多平台勒索软件即服务（RaaS）操作已经出现 ，其目标包括Windows 、勒索Linux、软件BSD  、瞄准ARM和ESXi系统
。新型i系

VanHelsing于3月7日首次在地下网络犯罪平台上推广 ，勒索为有经验的软件合作伙伴提供免费加入的机会 ，而经验不足的瞄准威胁行为者则需要缴纳5000美元的保证金 。

这一新型勒索软件操作由CYFIRMA在上周晚些时候首次记录，新型i系而Check Point Research则在昨天发布了更深入的勒索分析报告。

VanHelsing的云计算软件内部运作

Check Point的分析师报告称 ，VanHelsing是瞄准一个俄罗斯网络犯罪项目 ，禁止针对独联体（CIS）国家的新型i系系统 。

合作伙伴可以保留80%的勒索赎金  ，而运营商则抽取20%。软件付款通过一个自动托管系统处理 ，该系统使用两次区块链确认以确保安全。

VanHelsing邀请合作伙伴加入的广告来源 ：Check Point

被接受的合作伙伴可以访问一个具有完全操作自动化的面板，同时还能获得开发团队的高防服务器直接支持。

从受害者网络中窃取的文件直接存储在VanHelsing操作的服务器上 ，而核心团队声称他们定期进行渗透测试
，以确保顶级的安全性和系统可靠性
。

目前，VanHelsing在暗网上的勒索门户列出了三名受害者 ，其中两名在美国
，一名在法国
。其中一名受害者是德克萨斯州的一个城市，另外两家是源码库科技公司 
。

VanHelsing的勒索页面来源：BleepingComputer

勒索软件运营商威胁称，如果他们的财务要求得不到满足 ，将在未来几天内泄露窃取的文件。根据Check Point的调查，赎金要求为50万美元。

VanHelsing的勒索信来源 ：Check Point

隐身模式

VanHelsing勒索软件是用C++编写的，有证据表明它于3月16日首次在野外部署。

VanHelsing使用ChaCha20算法进行文件加密，免费模板为每个文件生成一个32字节（256位）的对称密钥和一个12字节的随机数 。

然后 
，这些值使用嵌入的Curve25519公钥进行加密，生成的加密密钥/随机数对存储在加密文件中。

VanHelsing对大于1GB的文件进行部分加密，但对较小的文件则运行完整的加密过程。

该恶意软件支持丰富的命令行界面（CLI）定制，以便根据受害者定制攻击 ，源码下载例如针对特定驱动器和文件夹 、限制加密范围、通过SMB传播、跳过影子副本删除以及启用两阶段隐身模式 。

在正常加密模式下，VanHelsing枚举文件和文件夹，加密文件内容，并将生成的文件重命名为附加“.vanhelsing”扩展名的文件。

在隐身模式下，勒索软件将加密与文件重命名分离，这不太可能触发警报，因为文件I/O模式模仿了正常的系统行为。

隐身加密功能来源 ：Check Point

即使安全工具在重命名阶段开始时做出反应
，亿华云在第二次通过时 ，整个目标数据集已经被加密
。

尽管VanHelsing看起来先进且发展迅速，但Check Point注意到一些揭示代码不成熟的缺陷
。

这些缺陷包括文件扩展名不匹配 、排除列表逻辑中的错误可能触发双重加密过程，以及几个未实现的命令行标志。

尽管存在错误
，VanHelsing仍然是一个令人担忧的新兴威胁，或许很快就会开始获得关注。