文章总结： Solar团队披露北京细红线科技遭绅士家族勒索，攻击者利用名人效应施压并设下倒计时。该团伙擅长利用N-day漏洞及BYOVD技术绕过防护。建议企业立即修补边界设备漏洞、强制开启MFA认证、限制远程工具使用并落实离线备份策略，以防御此类高级勒索威胁。 综合评分： 90 文章分类： 应急响应,威胁情报,恶意软件,漏洞分析,内网渗透

【热点新闻】由罗永浩创立的细红线科技被绅士家族勒索

原创

solarsec solarsec

solar应急响应团队

2026年2月5日 15:32 山东

依托 Solar 安全运营响应团队的日常实战沉淀，我们会定期分享在安全运营中处置的典型应急响应事件，涵盖银狐木马、APT 攻击、勒索病毒等各类主流威胁。

作为专业的应急响应中心，Solar 致力于为复杂多变的安全事件提供从深度溯源到闭环处置的全流程支持。针对银狐、APT 等具有高隐蔽性的威胁，我们不仅聚焦于对其攻击行为的深度剖析，更致力于还原其完整的活动链路，并同步输出切实可行的清除闭环操作方案。

突发危机干预通道：若您的核心资产正面临加密锁定或数据勒索风险，请通过文末二维码联系我们。我们提供全天候紧急介入服务，协助您快速切断攻击链路，全力挽回业务损失。

事件态势

2026年2月4日，Solar 安全运营响应团队在威胁情报监测中发现，北京细红线科技有限公司（Thin Red Line） 被列入 The Gentlemen（绅士） 勒索家族的暗网受害者名单。

与快餐巨头麦当劳(印度)遭Everest勒索，861GB敏感数据失窃，核心财务报表与高层通讯录流出的激进手法不同，绅士家族此次采取了更为隐蔽的施压策略。

当前状态分析

截至目前，绅士家族并未像往常一样释出部分数据样本作为证明，而是在其暗网站点设置了一个指向明确的倒计时。

• 威胁状态：数据未公开，处于勒索谈判窗口期。
• 剩余时间：约 222 小时（截至监测时间点）。
• 潜在风险：根据该家族过往 TTPs（战术、技术与过程）推断，一旦倒计时结束且赎金未达成一致，攻击者极大概率会公开包括核心研发图纸、财务报表及员工隐私在内的敏感数据。
• 精准舆论与心理施压：值得注意的是，绅士家族此次展现出了高度定制化的心理战术。在暗网勒索页面的企业简介中，攻击者一反常态，特意强调了“由罗永浩创立”（founded by Luo Yonghao）这一标签，而在此前针对其他受害企业的描述中，通常仅引用标准的业务介绍。考虑到罗永浩当前并未直接出现在企业的工商登记表面信息中（如法定代表人等），这表明攻击者进行了深度的背景调查，精准识别了该企业背后的高关注度人物。攻击者显然意图利用其在中国市场的巨大影响力制造舆论热点，通过名人效应放大勒索事件的社会关注度，从而在心理防线上给予受害者更大的谈判压力。

绅士家族暗网博客针对北京细红线科技的勒索倒计时页面

受害企业背景

北京细红线科技有限公司（Thin Red Line）是 罗永浩 于 2022 年宣布创立的 AR（增强现实）科技公司。该公司曾备受资本市场瞩目，致力于打造手机之后的下一代个人计算设备平台。

• 融资背景：2022年11月完成约 5000 万美元天使轮融资，投后估值曾达 2 亿美元。
• 业务焦点：AR 智能产品研发、VR 设备制造及 AI 操作系统（AIOS）。
• 近期动态：2023 年初，公司经营范围扩大，股权结构发生变更，由新加坡公司 ALWAYS ON TECH PTE.LTD. 全资持股，显示出其业务架构的国际化调整。

北京细红线科技有限公司工商信息概览

威胁源画像：The Gentlemen（绅士）家族

组织背景与活跃度

The Gentlemen 最早于 2025 年 7 月进入公众视野。情报显示，该组织极有可能由已解散的大型勒索软件家族核心成员重组而成。他们采用成熟的 RaaS（勒索软件即服务）模式，具备高度的组织化特征：核心团队负责恶意软件开发与基础设施维护，由于其攻击手法老练，短短数月内受害者数量已激增。

据 Solar 团队统计，截至 2025 年 11 月，该组织已成功勒索 68家 企业，攻击目标涵盖制造业、医疗、科技等多个关键领域。

The Gentlemen 家族受害者行业及地区分布统计

核心攻击手法复盘 (TTPs)

不同于广撒网式的攻击，绅士家族展现出了极强的针对性和技术规避能力。

1.1 初始突破：紧盯边界设备漏洞

该组织并不依赖昂贵的 0-day 漏洞，而是擅长利用企业未及时修补的 N-day 漏洞。

• FortiGate SSLVPN漏洞：这是其最主要的突破口。攻击者利用 CVE-2022-42475 等历史漏洞，对未打补丁的边界防火墙进行渗透。
• 凭证滥用：通过地下黑产购买 IABs（初始访问代理）提供的 RDP 或 VPN 凭证，直接绕过外围防线。

1.2 权限维持与横向移动

• “白利用”战术：大量使用合法的系统管理工具进行攻击，以混淆视听。

• AnyDesk：作为隐蔽的 C2 通道，维持持久化访问。

• Advanced IP Scanner：用于内网资产测绘。

• 横向渗透：获取域管权限后，利用 PsExec 和 SMB 协议快速感染域内其他主机。

1.3 防御规避：BYOVD 内核级对抗

这是该家族最具威胁的技术特征。他们会投放一个合法的但存在漏洞的驱动程序（如 ThrottleBlood.sys），利用 BYOVD（自带易受攻击驱动程序） 技术进入系统内核模式，强制终止杀毒软件（AV）和终端检测响应系统（EDR）的进程。

典型攻击链条：

1.渗透：利用 VPN 漏洞或弱口令进入内网。

2.致盲：通过 PowerShell 脚本禁用 Windows Defender 实时监控。

3.提权：加载漏洞驱动，杀掉安全防护进程。

4.加密：使用 Go 语言编写的勒索程序，采用 ChaCha20 + Curve25519 高强度算法加密文件，后缀通常为 .g0r126 或 .7mtzhh。

The Gentlemen 家族留下的勒索信

过往案例警示

该家族并非首次针对高科技制造企业下手：

• 2025年11月勒索台湾某科技制造业与先进高科技企业。

对台湾某制造业勒索事件

绅士勒索组织对未缴纳赎金的受害企业进行数据泄露

深度防御与处置建议

本次细红线科技被勒索事件再次印证了一个观点：在网络空间对抗中，攻击者往往只需突破一点，而防守方必须防住所有。 针对绅士家族的攻击特点，Solar 团队建议企业从以下维度构建防线：

1.收敛暴露面（针对初始入侵）

• VPN 专项排查：立即检查所有边界设备（特别是 Fortinet、SonicWall 等 VPN 网关）的固件版本，务必修复已知的高危 N-day 漏洞。
• 关闭非必要端口：除非业务必须，否则严禁将 RDP (3389)、SMB (445) 等管理端口直接暴露在公网。

2.强化访问控制（针对凭证滥用）

• MFA 全覆盖：对所有远程访问入口（VPN、邮件、堡垒机）强制开启多因素认证（MFA）。这是阻断凭证撞库最有效的手段。
• 僵尸账号清理：定期审计域内账号，及时注销离职员工账号和长期未使用的服务账号。

3.纵深防御体系（针对横向移动与规避）

• 限制合法工具：监控 AnyDesk、TeamViewer、向日葵等远程控制软件的运行。如果业务无需使用，应通过策略直接拉黑其哈希值或网络通信特征。
• 驱动加载白名单：开启 Windows 的 HVCI（受虚拟机监控程序保护的代码完整性）功能，或配置安全软件拦截未授权的驱动程序加载，防御 BYOVD 攻击。

4.数据底线思维

• 离线备份：建立“3-2-1”备份机制，且必须保留一份离线（不可篡改）的冷备份。这是在勒索发生后，企业拒绝支付赎金的唯一底气。

关于 Solar 安全运营响应团队

勒索攻击发生后的每一分钟都至关重要。Solar 团队提供全天候的紧急介入服务，无论是现在的应急处置，还是未来的常态化防护，我们都随时待命。

若您的核心资产正面临加密锁定或数据勒索风险，请通过下方渠道联系我们。我们致力于协助您快速切断攻击链路，开展深度溯源，并全力挽回业务损失。

以下是solar安全团队近期处理过的常见勒索病毒后缀：

| | | | | — | — | — | | 收录时间 | 病毒家族 | 相关文章 | | 2025/01/14 | Medusalocker | 【病毒分析】深入剖析MedusaLocker勒索家族：从密钥生成到文件加密的全链路解析 【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析 | | 2025/01/15 | Medusa | 【病毒分析】“美杜莎”勒索家族：从入侵到结束的全流程深度解析 | | 2024/12/11 | weaxor | 【病毒分析】新崛起的weaxor勒索家族：疑似mallox家族衍生版，深度解析两者关联！ | | 2024/10/23 | RansomHub | 【病毒分析】Ransom Hub:唯一不攻击中国的2024全球Top1勒索家族——ESXi加密器深度解析 | | 2024/11/23 | Fx9 | 【病毒分析】Fx9家族首次现身！使用中文勒索信，熟练勒索谈判 | | 2024/11/04 | Makop | 【病毒分析】揭秘.mkp后缀勒索病毒！Makop家族变种如何进行可视化加密？ | | 2024/06/26 | moneyistime | 【病毒分析】使用中文勒索信及沟通：MoneyIsTime 勒索家族的本地化语言转变及其样本分析 | | 2024/04/11 | babyk | 【病毒分析】BabyK加密器分析-Windows篇 【病毒分析】Babyk加密器分析-NAS篇 【病毒分析】Babyk加密器分析-EXSI篇 【病毒分析】Babuk家族babyk勒索病毒分析 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/09/29 | lol | 【病毒分析】全网首发！全面剖析.LOL勒索病毒，无需缴纳赎金，破解方案敬请期待下篇！ 【工具分享】.LOL勒索病毒再也不怕！完整破解教程分享+免费恢复工具首发 | | 2024/06/10 | MBRlock | 【病毒分析】假冒游戏陷阱：揭秘MBRlock勒索病毒及其修复方法 | | 2024/06/01 | Rast gang | 【病毒分析】Steloj勒索病毒分析 | | 2024/06/01 | TargetOwner | 【病毒分析】技术全面升级，勒索赎金翻倍，新版本TargetOwner勒索家族强势来袭？ | | 2024/11/02 | Lockbit 3.0 | 【病毒分析】Lockbit家族Lockbit 3.0加密器分析 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 【病毒分析】繁体勒索信暗藏玄机！要价50万RMB赎金的Lockbit泄露版分析 | | 2024/05/15 | Wormhole | 【病毒分析】Wormhole勒索病毒分析 | | 2024/03/20 | tellyouthepass | 【病毒分析】locked勒索病毒分析 【病毒分析】中国人不骗中国人？_locked勒索病毒分析 | | 2024/03/01 | lvt | 【病毒分析】交了赎金也无法恢复–针对国内某知名NAS的LVT勒索病毒最新分析 | | 2024/03/04 | phobos | 【病毒分析】phobos家族2700变种加密器分析报告 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 【病毒分析】phobos家族faust变种加密器分析 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 【病毒分析】phobos家族Elbie变种加密器分析报告 | | 2024/03/28 | DevicData | 【病毒分析】DevicData勒索病毒分析 【病毒分析】DevicData家族扩散：全球企业和机构成为勒索病毒头号攻击目标！ | | 2024/02/27 | live | 【病毒分析】独家揭秘LIVE勒索病毒家族之1.0（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之1.5（全版本可解密） 【病毒分析】独家揭秘LIVE勒索病毒家族之2.0（全版本可解密） | | 2024/08/16 | CryptoBytes | 【独家破解】揭秘境外黑客组织的20美元锁机病毒：深度逆向分析+破解攻略！赎金？给你付个🥚 | | 2024/03/15 | mallox | 【病毒分析】mallox家族malloxx变种加密器分析报告 【病毒分析】Mallox勒索家族新版本：加密算法全面解析 【病毒分析】全网首发！袭扰国内top1勒索病毒家族Mallox家族破解思路及技术分享 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 【病毒分析】mallox家族rmallox变种加密器分析报告 【病毒分析】Mallox家族再进化：首次瞄准Linux，勒索新版本全面揭秘！ | | 2024/07/25 | BeijngCrypt | 【病毒分析】全网首发！以国内某安全厂商名字为后缀的勒索病毒分析 | | 2025/03/11 | 银狐 | 【病毒分析】潜伏在AI工具中的幽灵：银狐家族社工攻击的深度剖析 | | 2025/03/07 | CTF赛题 | 【病毒分析】伪造微软官网+勒索加密+支付威胁，CTF中勒索病毒解密题目真实还原！ 【病毒分析】2024年网鼎杯朱雀组REVERSE02——关于勒索木马解密详解 | | 2025/05/14 | 888 | 【病毒分析】888勒索家族再出手！幕后加密器深度剖析 | | 2025/06/13 | LockBit4.0 | 【病毒分析】缴纳了巨额赎金依旧无法解密？最新LockBit4.0解密器分析 【病毒分析】LockBit 4.0 vs 3.0：技术升级还是品牌续命？最新LockBit 4.0分析报告 |

勒索攻击作为成熟的攻击手段，很多勒索家族已经形成了一套完整的商业体系，并且衍生了多个分支团队，导致勒索病毒迭代了多个版本。而每个家族擅用的攻击手法皆有不同，TellYouThePass勒索软件家族常常利用系统漏洞进行攻击；Phobos勒索软件家族通过RDP暴力破解进行勒索；Mallox勒索软件家族利用数据库漏洞，如(mssql命令执行)及暴力破解进行加密，攻击手法极多防不胜防。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/12/12 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第二篇-流量致盲，无声突破 | | 2024/12/11 | 【攻击手法分析】勒索病毒如何轻松绕过安全设备防线：第一篇-驱动漏洞一击致命 |

有效的预防方法包括针对自身业务进行定期的基线加固、补丁更新及数据备份，在其基础上加强公司安全人员意识。

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【教程分享】勒索病毒来袭！教你如何做好数据防护 | | 2024/06/24 | 【教程分享】服务器数据文件备份教程 |

案例介绍篇聚焦于真实的攻击事件，还原病毒家族的攻击路径和策略，为用户提供详细的溯源分析和防护启示；

| | | | — | — | | 收录时间 | 相关文章 | | 2024/06/27 | 【案例介绍】赎金提高，防御失效：某上市企业两年内两度陷入同一勒索团伙之手 | | 2024/01/26 | 【成功案例】某集团公司的Phobos最新变种勒索病毒jopanaxye解密恢复项目 | | 2024/03/13 | 【成功案例】某集团公司的Phobos最新变种勒索病毒2700解密恢复项目 | | 2024/04/01 | 【成功案例】间隔数月双团伙先后利用某ERP0day实施入侵和勒索的解密恢复项目 | | 2024/04/26 | 【成功案例】利用多款国产内网渗透工具勒索数十台虚拟机的babyk解密恢复项目 | | 2024/05/17 | 【成功案例】RDP暴露引发的蝴蝶效应：LockBit组织利用MSF工具及永恒之蓝漏洞进行勒索入侵 | | 2024/11/28 | 【成功案例】lockbit家族百万赎金不必付！技术手段修复被加密的数据库，附溯源分析报告 | | 2025/10/23 | 【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗 |

漏洞与预防篇侧重于技术层面的防御手段，针对病毒利用的漏洞和安全弱点，提出操作性强的应对方案：

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/08 | 【漏洞与预防】RDP弱口令漏洞预防 | | 2025/01/21 | 【漏洞与预防】MSSQL数据库弱口令漏洞预防 | | 2025/02/18 | 【漏洞与预防】远程代码执行漏洞预防 | | 2025/04/10 | 【漏洞与预防】Atlassian Confluence存在远程代码执行漏洞 | | 2025/04/17 | 【漏洞与预防】畅捷通文件上传漏洞预防 | | 2025/05/27 | 【漏洞与预防】Microsoft Windows 文件资源管理器欺骗漏洞预防 | | 2025/09/02 | 【漏洞与预防】Redis CVE-2025-32023 RCE漏洞验证与预防 |

应急响应工具教程篇重点分享应急响应过程中常用工具的安装、配置与使用说明，旨在帮助读者快速掌握这些工具的操作流程与技巧，提高其在实际应急场景中的应用熟练度与效率。

| | | | — | — | | 收录时间 | 相关文章 | | 2025/01/10 | 【应急响应工具教程】Splunk安装与使用 | | 2025/02/07 | 【应急响应工具教程】取证工具-Volatility安装与使用 | | 2025/02/20 | 【应急响应工具教程】流量嗅探工具-Tcpdump | | 2025/02/26 | 【应急响应工具教程】一款精准搜索文件夹内容的工具–FileSeek | | 2025/03/03 | 【应急响应工具教程】一款自动化分析网络安全应急响应工具–FindAll | | 2025/03/13 | 【应急响应工具教程】Windows 系统操作历史监控与审计工具-LastActivityView | | 2025/03/20 | 【应急响应工具教程】镜像取证之挂载镜像——Arsenal Image Mounter | | 2025/04/03 | 【应急响应工具教程】Windows 系统综合排查工具Hawkeye | | 2025/04/08 | 【应急响应工具教程】Linux下应急响应工具whohk | | 2025/05/15 | 【应急响应工具教程】Windows日志快速分析工具——Chainsaw | | 2025/06/05 | 【应急响应工具教程】Logman 系统性能与日志采集工具 | | 2025/07/02 | 【应急响应工具教程】QDoctor应急响应神器：一键检测系统安全 | | 2025/07/08 | 【应急响应工具教程】Linux应急响应工具集：一键式安全评估与可视化报告系统 | | 2025/07/23 | 【应急响应工具教程】司稽（Whoamifuck）：纯Shell打造的Linux应急响应利器 | | 2025/08/05 | 【应急响应工具教程】主机侧Checklist的自动全面化检测脚本-GScan | | 2025/08/19 | 【应急响应工具教程】SPECTR3：通过便携式 iSCSI 实现远程证据的只读获取与分析 |

如果您想了解有关勒索病毒的最新发展情况，或者需要获取相关帮助，请关注“Solar应急响应团队”。

全国热线| 400-613-6816

更多资讯| 扫码加入群组交流

喜欢此内容的人还喜欢

【紧急警示】Weaxor最新变种“.wxx”来袭，批量入国内知名财务类管理系统发起勒索攻击！

Solar应急响应团队

【病毒分析】新版勒索病毒MEDUSA LOCKER 首发深度分析

Solar应急响应团队

【成功案例】成功挫败 888 勒索家族历时半年的百万赎金勒索，应急处置全流程高效修复，避免千万损失并获客户赠送锦旗

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：solar应急响应团队 solarsec solarsec《【热点新闻】由罗永浩创立的细红线科技被绅士家族勒索》