加密许可：“绅士”勒索团伙开始行动

Cybereason威胁情报团队近期对“绅士”勒索软件团伙进行了分析。该团伙大约于2025年7月出现，是一个采用相对高级手法的勒索软件威胁组织。“绅士”团伙采用双重勒索策略，不仅加密敏感文件，还会窃取关键业务数据，并威胁要在暗网泄露网站上公布这些数据，除非支付赎金。该团伙展示了独特的手法，将成熟的勒索软件技术与更新的策略相结合，使他们能够快速适应新的攻击向量，从而持续对全球组织构成威胁。

关键要点

“绅士”的出现：“绅士”勒索软件团伙大约于2025年7月出现，根据其数据泄露站点的活动，他们在2025年9月和10月开始公布了48名受害者。他们采用高级的双重勒索策略，在加密数据的同时窃取敏感的商业信息，并威胁除非支付赎金否则将公开这些信息。
- “绅士”数据泄露站点在线
RaaS和附属模式的发展：根据PRODAFT的一份声明，在创建自己的勒索软件即服务平台之前，“绅士”曾尝试过其他知名勒索软件团伙使用的各种附属模式。这段经历使他们能够改进方法，并最终创建了自己的RaaS运营。
- Hastalamuerte（LARVA-368）曾寻求访问Qilin勒索软件锁定面板。他们提到自己是运营新手，并表示有兴趣探索市场上其他勒索软件选项。这表明该用户可能在最终开发自己的平台之前，考虑或测试过各种RaaS平台。
最新的勒索软件更新：“绅士”最近的更新引入了自动自启动和开机运行功能，增强了其在受感染系统上的持久性。该勒索软件现在还支持使用WMI、PowerShell远程处理和其他工具在网络中传播的灵活加密速度和分发方法。此外，它同时针对本地磁盘和网络共享驱动器，强调了该团伙为保持控制力和增加攻击影响而不断发展的方法。

来自暗网论坛的勒索软件更新日志

该团伙对其Win/Linux/ESXi锁定器变种进行了重大更新，引入了改进的自动化、持久性和加密性能。

持久化与自动化：
- 利用计划任务和注册表项实现开机运行时自动自启动。
- 支持静默模式（-silent）以实现隐蔽执行。
加密增强：
- 加密可移动驱动器和映射的驱动器，同时保留原始文件修改日期。
- 改进了使用WMI、SCHTASKS、SC和服务控制管理器以及PowerShell远程处理的传播技术。
- 性能显著提升：加密速度提高9-15%。
执行模式：
- 可以在SYSTEM权限下运行以获取完整的本地磁盘访问权限。
- 支持双重操作：在同一会话中进行本地+网络加密。
目标范围：
- 针对物理和虚拟Windows环境。
- 扩展了对更广泛操作系统的支持。
持久化与权限提升：
- 现在在Linux上通过系统级自动启动实现开机自动重启。
- 能够根据配置从用户权限提升到root权限。
静默模式与加密：
- 包含Linux系统的-silent执行模式。
- 文件处理和时间戳保留方面的增强。
- 使用“擦除后”机制在加密后安全地清除空闲磁盘空间，增加恢复难度。
核心锁定器集成：
- 模块化架构允许在加密后无缝执行清理任务。
VMware/ESXi重点：
- 针对跨集群主机（包括vSAN存储）加密多个ESXi实例进行了优化。
- 改进了并发性，以处理跨虚拟机管理程序的同时操作。

“绅士”勒索软件即服务

在各种网络犯罪论坛上，“绅士”勒索软件被宣传为一种高级的勒索软件即服务解决方案，旨在为各种攻击场景提供高度可配置的功能。该RaaS程序凭借其强大的技术能力吸引附属机构，为他们提供用于大规模部署和高效运营的多功能工具。

“绅士”勒索软件将先进的加密技术与动态传播选项相结合，允许运营商瞄准并感染包括Windows、Linux和ESXi平台在内的广泛系统。该服务不断更新以适应新的防御策略，在快速演变的威胁环境中保持其相关性和有效性。

关键能力包括其强大的加密机制、专门的ESXi锁定器以及持久访问功能（包括自启动和开机运行功能）。此外，该团伙的双重勒索策略——加密文件的同时窃取敏感数据以备日后发布——是其运营战略的核心。

RaaS能力：

可靠加密：使用XChaCha20和Curve25519进行强大的文件加密，确保安全锁定数据。
可配置的攻击方法：该勒索软件提供灵活的加密方法，允许运营商调整速度和彻底性，优化攻击结果。
ESXi锁定器：专为ESXi环境设计的锁定器，提供异步加密和隐蔽操作以避免检测。
双重勒索策略：加密关键数据的同时将其窃取用于勒索。该团伙在运营仅两个月内就在其暗网泄露网站上公布了47名受害者。
持久化与传播：采用自启动和开机运行功能，确保对受感染系统的持续访问。该勒索软件还通过WMI和PowerShell远程处理传播，利用网络共享驱动器和凭据扩大其影响范围。
RaaS模式：作为勒索软件即服务运营，允许附属机构部署有效载荷，同时保持对基础设施的控制。该服务包括为附属机构提供的可自定义构建选项和持续支持。

以下是关于“绅士”勒索软件如何作为勒索软件即服务提供及其关键功能的详细信息。

可用功能简述：

可靠加密：使用XChaCha20和Curve25520进行强文件加密。
可配置的加密模式：运营商可以调整加密方法的速度和深度，以确保最佳性能。
自我持久化：使用自启动和开机运行选项确保对受感染系统的持续控制。
目标加密：能够加密特定目录或整个系统，包括ESXi服务器。
双重勒索：在加密的同时窃取敏感数据，威胁除非支付赎金否则将发布数据。
网络传播：使用WMI和PowerShell远程处理在局域网内传播并获取对其他系统的访问权限。
灵活设置：提供可自定义的构建，包含预配置和自定义设置，供附属机构调整其攻击策略。
对附属机构的支持：RaaS平台包括对谈判的全面支持和对勒索要求的灵活控制。
地理限制：禁止在俄罗斯和独联体国家开展活动。
数据收集：附属机构必须将加密数据上传到公共云或经批准的资源，这些数据将显示在该团伙的博客上。
安全功能：该程序仅向受信任的附属机构提供EDR杀手和多链系统等工具。

一位论坛用户声称“绅士”勒索软件使用的锁定器是使用“vibecoding”技术编写的，而“绅士”似乎赞同这一说法。

技术分析

在本节中，我们对勒索软件可执行文件进行了分析，并观察了其与其他先前存在的勒索软件团伙的技术相似性。

文件哈希如下：3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235

“绅士”勒索软件

我们分析的文件是一个64位Windows可执行文件，使用Golang编写：

启动时，勒索软件可执行文件提供详尽的帮助信息，显示可用的各种选项和标志：

Windows变种命令行选项

恶意软件需要“--password”参数来运行加密例程。我们假设该参数是由下载器或其他类型的加载器在感染的第一步传递给可执行文件的。

列出的勒索软件可执行文件选项如下：

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19


用法：%s --password 密码 [--path 目录1,目录2,] [--T 分钟] [--silent] [--full] [--system] [--shares] [--fast] [--superfast] [--ultrafast]

主要标志：
  --password 密码    访问密码（必需）
  --path 目录列表   目标目录/磁盘的逗号分隔列表（可选）
  --T 分钟          开始前的延迟时间，以分钟为单位（可选）
  --silent          静默模式：加密后不重命名文件（可选）

模式标志：
  --system（以SYSTEM身份加密本地驱动器），--shares（映射共享/UNC），--full（两阶段：系统+共享）

速度标志：
  --fast（加密9%），--superfast（加密3%），--ultrafast（加密1%）

调用示例：
  示例1：--password QWERTY --path "C:\,D:\,\\nas\share" --T 15 --silent
  示例2：--password QWERTY --system --fast
  示例3：--password QWERTY --shares --T 10
  示例4：--password QWERTY --full --ultrafast

快速的静态分析显示，可执行文件中包含纯文本的勒索信：

在进行静态分析时，我们在样本中发现了一个硬编码的字符串“! <...> Ransom Protection(DON’T DELETE)”：

经过研究，Cybereason威胁情报团队发现一位名为“Hastalamuerte”的用户在论坛发帖讨论了“绅士”样本中存在的相同标记，并描述了其与反勒索软件功能的关系。

一位使用别名“hastalamuerte”的用户分享的论坛帖子讨论了字符串“! <...> Ransom Protection(DON’T DELETE)”作为反勒索软件保护和绕过解决方案的示例。

“绅士”勒索软件的PowerShell操作

在本节中，我们分析了勒索软件执行的PowerShell命令。

样本中包含一个设计为通过Invoke-Command远程执行的PowerShell命令：

1

Invoke-Command -ComputerName %s -ScriptBlock { Set-MpPreference -DisableRealtimeMonitoring $true; Add-MpPreference -ExclusionPath 'C:\'; Add-MpPreference -ExclusionProcess '%s' }

该命令禁用Windows Defender的实时保护，并将目录（C:\）和进程添加到排除列表中，这是勒索软件在加密前规避检测的常见策略。

勒索软件执行的其他命令包括：

1

Write-Host " ♤ The Gentlemen " -BackgroundColor DarkGray -ForegroundColor White -NoNewline

此命令将字符串“♤ The Gentlemen”打印到控制台，并带有自定义颜色，作为勒索软件执行期间的视觉标识或品牌元素。

1

Get-NetFirewallRule -DisplayGroup "Network Discovery" | Enable-NetFirewallRule

此命令启用“网络发现”组中的Windows防火墙规则，有效打开与发现和文件共享相关的端口。

1

AppData/Roaming/Microsoft/Windows/PowerShell/PSReadline/ConsoleHost_history.txt

此路径指向PowerShell PSReadLine历史文件（ConsoleHost_history.txt），其中可能包含已执行的PowerShell命令记录，是重建攻击者活动的重要取证工件。

1
2
3


del /f /q %SystemRoot%\System32\LogFiles\RDP*\*.*
del /f /q C:\ProgramData\Microsoft\Windows Defender\Support\*.*
del /f /q C:\Windows\Prefetch\*.*

这些是明确的反取证操作，用于清除交互访问、端点保护遥测和应用程序执行历史的证据，使得事后调查和时间线重建变得更加困难。

1

ping localhost -n 3 > nul & del

恶意软件在执行后从系统中删除自身。

1

$p = [WMICLASS]"\\\\%s\root\cimv2:Win32_Process"; $p.Create("%s")

此PowerShell代码片段使用WMI Win32_Process类在\\<主机>\root\cimv2上远程创建进程，使对手能够在其他机器上执行命令以进行横向移动或分布式执行。

1

$volumes=@();$volumes+=Get-WmiObject -Class Win32_Volume|Where-Object{$_.Name -like '*:\*'}|Select-Object -ExpandProperty Name;try{$volumes+=Get-ClusterSharedVolume|ForEach-Object{$_.SharedVolumeInfo.FriendlyVolumeName}}catch{};$volumes

此PowerShell代码片段枚举本地驱动器卷（Win32_Volume）并尝试包含集群共享卷（Get-ClusterSharedVolume），将其名称收集到$volumes中，这是在执行广泛加密或选择性排除之前用于发现所有潜在目标（本地、集群和网络挂载卷）的例程。

1

icacls <路径> /grant *S-1-1-0:(OI)(CI)F

Windows中的ICACLS命令用于修改文件和目录权限。此命令为指定文件夹及其所有内容（包括子文件夹和文件）授予Everyone组（由安全标识符S-1-1-0表示）完全控制权限。(OI)和(CI)标志确保权限同时应用于文件（对象继承）和子目录（容器继承）。

目标进程和服务

“绅士”勒索软件包含一个内置的终止列表，旨在在加密前停止关键服务和进程。这些包括数据库引擎、备份实用程序、远程访问工具和虚拟化服务组件，否则可能会阻止文件访问或启用恢复。

引用的进程和服务包括： sqlservr, MSSQL, MSSQL$SQLEXPRESS, SQLAGENT, SQLWriter, Ssms, postgres, postmaster, psql, postgresql, MySQL, mysqld, veeam, GxVss, vsnapvss, xfssvccon, qbdbMgrN, TeamViewer, MSExchange, vmms 以及其他进程和服务。

注册表键使用

样本嵌入了多个Windows注册表引用，指向持久化和系统配置操纵。值得注意的是，它包含HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run和HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run（用于持久化的常见自启动位置）、HKLM\SYSTEM\CurrentControlSet\Control\Lsa（安全/身份验证相关设置）以及HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters（服务器/SMB共享配置）。它还引用了SOFTWARE\Microsoft\Windows NT\CurrentVersion\Time Zones，可能用于读取本地化/时间戳处理。综合来看，这些注册表操作表明恶意软件旨在实现持久化、安全策略交互和网络共享行为修改，以支持大规模加密。

结论

Cybereason的分析表明，“绅士”是一个高度适应、快速移动的勒索软件运营组织，它融合了成熟的勒索软件技术与RaaS功能、双重勒索、跨平台锁定器、自动化持久化、灵活传播和附属机构支持，使其能够快速扩展攻击并规避基本防御。其快速的受害者公布、强大的加密技术、EDR规避策略以及横向移动工具，使其成为对组织构成可信且持续的风险。

建议：

追踪并搜寻“绅士”锁定器附属机构活动，以识别勒索前的行为模式。
推广网络安全最佳实践，如多因素身份验证和补丁管理。
定期备份文件并创建备份流程和政策：从备份恢复文件是重新获取数据访问权限的最快方式。
保持系统完全打补丁：确保系统已打补丁以减轻漏洞风险。
如果检测到恶意活动，立即启动事件响应服务，执行彻底的调查和遏制流程，以便从受感染网络中完全清除威胁行为者。

对于使用Cybereason防御平台的Cybereason客户：

启用反恶意软件并将反恶意软件 > 签名模式设置为阻止、隔离或清除。
启用反勒索软件，将反勒索软件设置为隔离模式并启用卷影副本保护。
启用应用程序控制。
启用变体有效负载防护，并在Cybereason行为执行防护上开启阻止模式。

入侵指标

IOC类型	描述
`3ab9575225e00a83a4ac2b534da5a710bdcf6eb72884944c437b5fbe5c5c9235`	SHA256 - Windows勒索软件样本
`51b9f246d6da85631131fcd1fabf0a67937d4bdde33625a44f7ee6a3a7baebd2`	SHA256 - Windows勒索软件样本

战术与技术映射

战术	ATT&CK 技术（ID）
TA0002: 执行	T1059.001 – 命令和脚本解释器：PowerShell T1569.002 – 系统服务：服务执行
TA0003: 持久化	T1547.001 – 注册表运行键 / 启动文件夹
TA0005: 防御规避	T1070.004 – 主机上的指示器移除：文件删除 T1070.001 – 主机上的指示器移除：清除Windows事件日志 T1562.001 – 削弱防御：禁用或修改安全工具 T1562 – 削弱防御 T1222 – 文件和目录权限修改 T1218 – 系统二进制代理执行（使用受信任的Windows实用程序，如`vssadmin`、`wevtutil`和`taskkill`）
TA0007: 发现	T1083 – 文件和目录发现 T1135 – 网络共享发现 T1018 – 远程系统发现
TA0008: 横向移动	T1047 – Windows管理规范 T1021.002 – 远程服务：SMB/Windows管理共享
TA0040: 影响	T1486 – 数据加密以造成影响 T1489 – 服务停止 T1490 – 抑制系统恢复

关于研究人员

Mark Tsipershtein，安全研究员 Mark Tsipershtein是Cybereason安全研究团队的安全研究员，专注于研究、分析自动化和基础设施。Mark在SQA、自动化和安全研究方面拥有超过20年的经验。

揭秘“绅士”勒索团伙：技术架构与攻击手法深度剖析

本文深入分析了“绅士”勒索软件团伙的技术架构与攻击手法，涵盖其RaaS运营模式、多平台加密能力、持久化机制以及用于横向移动和防御规避的PowerShell命令与反取证技术。