文章总结： VECT2.0勒索软件存在加密缺陷，处理超过128KB文件时因nonce缓冲区覆盖问题导致数据永久销毁而非加密，影响虚拟机、数据库等关键文件。该缺陷存在于所有系统版本，攻击者无法解密文件。建议企业重点防护供应链攻击并加强大文件备份。 综合评分： 82 文章分类： 漏洞分析,恶意软件,数据安全,威胁情报,漏洞预警

【安全圈】有缺陷的 VECT 2.0 勒索软件对大文件充当数据擦除器

安全圈

2026年5月1日 19:02 江苏

在小说阅读器读本章

去阅读

关键词

勒索软件

研究人员警告称，VECT 2.0 勒索软件在处理加密非ces（nonces）时存在一个问题，导致其永久销毁大文件而非对其进行加密。

VECT 已在最新的 BreachForums 迭代版本之一上进行宣传，邀请注册用户成为合作伙伴，并通过私信向感兴趣的用户分发访问密钥。

在某个时间点，VECT 运营者宣布与 TeamPCP 威胁组织建立合作关系。该组织负责近期影响 Trivy、LiteLLM 和 Telnyx 的供应链攻击，以及对欧盟委员会的攻击。

在公告中，VECT 运营者表示，他们的目标是利用那些供应链妥协事件的受害者，在其环境中部署勒索软件载荷，并对其他组织开展更大规模的供应链攻击。

有缺陷的勒索软件

虽然这一设计本意是为了提高大文件的加密速度，但由于所有分块加密都使用相同的内存缓冲区来输出 nonce，每个新生成的 nonce 都会覆盖前一个。

一旦所有分块处理完毕，内存中仅保留最后一个生成的 nonce，并且只有这一个被写入磁盘。

因此，文件中唯一可恢复的部分是最后 25%，而之前的三个部分由于 nonce 丢失而无法解密。

这些丢失的 nonce 也不会传输给攻击者，所以即使 VECT 运营者想为支付赎金的受害者解密文件，他们也做不到。

Check Point 指出，由于大多数有价值的企业文件（包括虚拟机磁盘、数据库文件和备份）都超过 128KB，VECT 作为数据擦除器的影响在大多数环境中可能是灾难性的。

Check Point 表示：“阈值仅为 128 KB，小于典型的电子邮件附件或办公文档。代码所分类的大文件不仅包括虚拟机磁盘、数据库和备份，还包括常规文档、电子表格和邮箱。实际上，受害者想要恢复的几乎所有内容都超过了这个边界。”

研究人员发现，相同的 nonce 处理缺陷存在于 VECT 2.0 勒索软件的所有变体中，包括 Windows、Linux 和 ESXi 版本，因此在所有情况下都会出现相同的数据擦除行为。

END

阅读推荐

【安全圈】Linux 内核潜伏 9 年漏洞披露：732 字节脚本攻破 Ubuntu 等发行版，提权至 root 最高权限

【安全圈】cPanel被曝惊天高危漏洞，千万级服务器面临“裸奔”，官方紧急发布补丁！

【安全圈】朝鲜新一轮攻击：利用 AI 植入 npm 恶意软件、虚假公司和远程访问木马

【安全圈】伊朗黑客组织：已“开盒” 2379 名美国海军陆战队员，掌握数万名中东美军姓名、住址、日常轨迹、购物习惯等

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】有缺陷的 VECT 2.0 勒索软件对大文件充当数据擦除器》