近日資安研究人員發現一款新興的勒索軟體因為程式缺陷,導致所有大於 128KB 的檔案在「加密」過程中實際上被永久銷毀,最可怕的是受害者就算支付贖金也無法救回檔案,因為連攻擊者自己也無法解密。根據資安公司 Check Point Research 在 4 月 28 日發布的報告,一款名為 VECT 2.0 的勒索軟體服務(Ransomware-as-a-Service,RaaS,專給相關詐騙勒索集團使用的服務)存在一個關鍵的程式設計缺陷,導致其加密機制在處理超過 128KB 的檔案時,實際上是在執行資料破壞(Wiper)而非加密。
VECT 2.0 勒索軟體爆致命程式錯誤
VECT 最早於 2025 年 12 月出現在俄語網路犯罪論壇上,並於 2026 年 1 月首度對企業發動攻擊。今年 2 月,該組織推出了大改版的 VECT 2.0,號稱從零開始重寫,支援 Windows、Linux 以及 VMware ESXi 三種平台,全部以 C++ 撰寫並嵌入 libsodium 加密函式庫。
nonce 覆蓋錯誤導致資料永久遺失
VECT 2.0 的加密缺陷在於其 nonce(一次性隨機數)的處理方式。正常情況下,勒索軟體會將檔案加密後,將解密所需的 nonce 保存在檔案中,以便後續贖金支付後進行解密還原。
然而 Check Point 研究人員發現,對於超過 128KB(131,072 bytes)的檔案,VECT 2.0 會將檔案分成四個區塊分別加密,但程式碼的迴圈在處理每個區塊時,會不斷將新產生的 nonce 寫入同一個記憶體緩衝區——這意味著前面三個區塊的 nonce 在產生後立即被覆蓋,最終只有最後一個區塊的 nonce 被保存下來。
Check Point 研究團隊指出:「支付贖金的受害者無法獲得有效的解密器來還原他們最重要的檔案,這不是因為勒索軟體運營商不配合,而是因為解密所需的 nonce 已經不存在了。」
由於前面三個 nonce 是密碼學隨機產生的且從未被儲存在其他地方,這意味著這些區塊的資料永遠無法被還原,不論是受害者、資安研究人員,還是攻擊者自己。
128KB 的致命門檻
128KB 這個門檻可說是這個缺陷最諷刺的部分。一般一張高解析度照片約 2-5MB、一份 Word 文件約數百 KB、一封含有附件的電子郵件也遠超過 128KB。換句話說,企業環境中幾乎所有有意義的資料:包括虛擬機器磁碟、資料庫檔案、文件檔案、備份資料、試算表,一旦遭到 VECT 2.0 加密處理,就無法恢復原狀。
更糟的是,所有平台的 VECT 2.0 版本:Windows、Linux、ESXi 都存在完全相同的加密缺陷,因為它們共用同一套程式碼基礎(codebase)。
不只加密出錯:滿滿的業餘錯誤
Check Point 研究人員還發現了 VECT 2.0 中一連串的業餘級錯誤:
- 加密演算法不實廣告:該組織宣稱使用 ChaCha20-Poly1305 AEAD 加密,但實際上使用的是沒有認證層的原始 ChaCha20-IETF(RFC 8439),完全沒有 Poly1305 MAC 和完整性保護
- 功能虛設的加速模式:號稱提供三種加密速度模式(快速、中等、安全),但程式碼雖然會解析這些參數,卻直接忽略不予處理
- 自我抵消的混淆技術:使用的程式碼混淆技巧因為實作錯誤,反而讓程式碼變得更容易閱讀
- 反分析功能永遠不會觸發:內建的安全規避工具雖然已經寫在程式碼中,但永遠不會被啟用
- 執行緒排程器適得其反:用來提升加密效能的執行緒排程器,實際上反而降低了加密效率
免費送給所有 BreachForums 犯罪集團會員
儘管 VECT 的技術能力如此業餘,它的影響力卻不容小覷。該組織宣布與網路犯罪論壇 BreachForums 合作,承諾每一位註冊用戶都能成為合作夥伴(affiliate),免費使用 VECT 的勒索軟體工具包、談判平台和資料洩漏網站。
Check Point 研究團隊在報告中指出:「這項合作已於 2026 年 4 月全面生效。」換句話說,大量的潛在攻擊者正在取得這款雖然有缺陷、但極具破壞性的武器。
此外,VECT 還與惡名昭彰的 TeamPCP 集團結盟。TeamPCP 是近期多起供應鏈攻擊的幕後黑手,鎖定的目標包括 Trivy、Checkmarx KICS、LiteLLM 和 Telnyx 等開源專案。他們的合作目標是鎖定受到供應鏈攻擊影響的企業組織。
Check Point:付錢也沒用,別付了
Check Point 研究人員總結:「這些發現共同描繪出一個具有營運野心的組織,從 BreachForums 的開放合作夥伴模式到 TeamPCP 的供應鏈攻擊,但其密碼學和軟體工程成熟度完全無法匹配他們試圖運作的規模。」
對於已經遭到 VECT 2.0 攻擊的受害者,資安專家的建議:不要支付贖金。因為攻擊者手上根本沒有能還原你重要資料的解密金鑰,付錢只是白白把錢送給網路犯罪分子。