NoEscape
报告编号: TIR-2026-0624-006 | 分类等级: TLP:AMBER | 发布日期: 2026年6月24日 | 情报来源: 多源交叉验证(OSINT + 执法通报 + 厂商报告)
一、执行摘要
NoEscape 是一个于2023年5月首次出现的勒索软件即服务(RaaS)组织,声称使用 C++ 从零构建恶意软件及其配套基础设施,未复用任何已有勒索软件家族的源代码。然而,多家安全研究机构通过代码结构比对、加密逻辑分析和战术特征对比,认为该组织与2021年解散的 Avaddon 勒索组织存在高度关联,极有可能是 Avaddon 的重新品牌化运作。NoEscape 采用三重勒索(Triple Extortion)策略——数据加密、数据窃取泄露、DDoS 攻击——对受害者施加最大化压力。该组织于2023年12月突然关闭,运营者涉嫌退出骗局(Exit Scam),卷走附属成员和受害者的资金后消失。
关键发现
| 维度 | 关键指标 |
|---|
| 组织规模 | 受害者数量未公开完整统计,涉及多个行业 |
| 活跃周期 | 2023年5月 → 2023年12月(约7个月) |
| 加密强度 | ChaCha20 + RSA-2048,无公开解密器 |
| 首要入口 | 漏洞利用、钓鱼邮件、被盗凭证(初始访问代理) |
| 商业模式 | RaaS,阶梯分成(80/20 → 85/15 → 90/10) |
| 勒索区间 | 数十万至超过1000万美元 |
| 组织状态 | 2023年12月关闭,运营者涉嫌退出骗局 |
| 前体组织 | Avaddon(2019-2021) |
| 多平台支持 | Windows XP-11、Windows Server 2003-2022、Linux(Ubuntu/Debian)、VMware ESXi |
| 解密可能性 | 无公开解密工具 |
威胁等级评估
| 评估维度 | 等级 | 说明 |
|---|
| 技术能力 | 🟠 高 | C++ 原生开发、三重勒索、Safe Mode 加密、多平台支持 |
| 运营成熟度 | 🟠 高 | 完整 RaaS 面板、Tor 泄露站、自动化谈判、DDoS 服务 |
| 攻击规模 | 🟡 中 | 运营周期较短(约7个月),但攻击强度高 |
| 目标针对性 | 🟠 高 | 专业服务、制造、信息技术、政府、能源、医疗 |
| 数据泄露风险 | 🔴 极高 | 三重勒索模式(加密 + 泄露 + DDoS) |
二、威胁行为者画像
2.1 组织标识
| 属性 | 值 |
|---|
| 官方名称 | NoEscape |
| 别名 | No Escape、NOESCAPE |
| 组织类型 | 勒索软件即服务(RaaS) |
| 活跃周期 | 2023年5月 → 2023年12月(退出骗局) |
| 主要语言 | 英语(泄露站与对外沟通) |
| 地理归属 | 俄罗斯/独联体(高置信度,基于 CIS 豁免分析) |
| 攻击目标 | 全球企业(北美为主,欧洲次之) |
| 动机 | 经济利益 |
2.2 组织演化时间线
2019 Avaddon 勒索组织出现
双勒索模式, targeting 医疗、政府、金融等
↓
2021.06 Avaddon 停止运营
向所有受害者发布解密密钥
↓
2023.03 Trend Micro 记录到 NoEscape 样本
Ransom.Win32.NOESCAPE.A(2022.08.18)
Ransom.Win32.NOESCAPE.B(2023.03.29)
部分功能可能在正式运营前已测试
↓
2023.05 NoEscape RaaS 在地下论坛公开招募附属成员
声称 C++ 从零开发,未使用第三方源码
↓
2023.06 安全研究机构(CRIL、SOCRadar 等)发布详细分析报告
发现与 Avaddon 的高度相似性
↓
2023.10 最后已知受害者发布于泄露站(10月27日)
↓
2023.12 NoEscape Tor 网站突然下线
附属成员报告运营者卷款消失(退出骗局)
多个黑客论坛出现仲裁投诉
↓
2023.12 LockBit 开始招募 NoEscape 和 BlackCat/ALPHV 的附属成员
NoEscape 在 XSS 和 Exploit 论坛被封禁
2.3 与 Avaddon 的关联分析
| 关联维度 | 证据 | 置信度 |
|---|
| 时间连续性 | Avaddon 2021年6月关闭 → NoEscape 2023年5月出现 | 中 |
| 代码相似性 | 加密逻辑结构和文件格式高度相似(虽算法不同:Avaddon 用 AES,NoEscape 用 ChaCha20) | 高 |
| 配置重叠 | 两者使用相似的配置文件和指令格式 | 高 |
| 战术相似 | 均采用双/三重勒索策略,初始访问方式类似 | 中 |
| 地理豁免 | 均避免攻击独联体(CIS)国家实体 | 高 |
| 运营者身份 | 未公开确认,但核心成员极可能为 Avaddon 旧部 | 中 |
2.4 附属成员体系
| 指标 | 数据 |
|---|
| 分成比例 | 赎金 ≥100万美元:附属80%/运营者20%;≥300万美元:85/15;超过300万美元:90/10 |
| 沟通渠道 | Tor 面板内私信、专用聊天室 |
| 准入门槛 | 通过地下论坛招募,具体筛选标准未公开 |
| 附加服务 | DDoS/Spam 服务(50万美元起) |
三、归因分析
3.1 归属评估
| 字段 | 信息 | 置信度 |
|---|
| 语言归属 | 英语(对外沟通) | 高 |
| 地理归属 | 俄罗斯/独联体地区(推断) | 中高 |
| Avaddon 关联 | 代码结构、配置格式、战术特征、CIS 豁免均高度一致 | 高 |
| 运营者身份 | 未公开确认 | — |
3.2 执法状态
⚠️ 重要提示:截至2026年6月:
- ❌ 无正式国家级归因声明
- ❌ 无国际刑警组织红色通缉令
- ❌ 无专项执法行动通报
- ✅ HHS HC3 发布分析笔记(2023年10月)
- ✅ 多家安全厂商发布分析报告(Fortinet、Cyble、SOCRadar、SentinelOne、Trend Micro)
3.3 退出骗局分析
| 因素 | 评估 |
|---|
| 骗局性质 | 运营者窃取附属成员存款和赎金分成后消失 |
| 影响范围 | 附属成员和部分受害者均受影响 |
| 论坛反应 | 在 XSS、Exploit 等主要黑客论坛被发起仲裁投诉并封禁 |
| 后续吸纳 | LockBit 积极招募 NoEscape 和 BlackCat/ALPHV 的附属成员 |
| 解密钥匙 | 此前一次关闭时曾发布解密密钥,此次退出后情况不明 |
3.4 地缘政治因素
| 因素 | 评估 |
|---|
| CIS 豁免 | 明确避免攻击独联体国家,暗示运营者位于俄罗斯或独联体地区 |
| 执法壁垒 | 俄罗斯不配合西方执法请求 |
| 运营模式 | RaaS 附属网络分散,核心运营者身份隐蔽 |
四、技术能力评估
4.1 加密机制分析
4.1.1 加密算法
| 组件 | 算法 | 说明 |
|---|
| 对称加密 | ChaCha20 | 流加密,速度快 |
| 非对称加密 | RSA-2048 | 加密全局 ChaCha20 密钥 |
| 密钥策略 | 共享加密(单密钥加密全网文件) | 加速加密与解密流程 |
| 文件扩展名 | 10位随机字符(如 .CCBDFHCHFD、.CBCJDHIHBB) | 每次攻击随机生成 |
4.1.2 加密流程
┌─────────────────────────────────────────────────────────────┐
│ 1. 生成全局 ChaCha20 密钥 │
│ 2. 使用该密钥为所有文件生成独立 ChaCha20 密钥 │
│ 3. 使用 ChaCha20 加密文件内容 │
│ 4. 使用 RSA-2048 公钥加密全局 ChaCha20 密钥 │
│ 5. 将加密后的密钥追加到文件尾部 │
│ 6. 重命名文件(添加10位随机扩展名) │
│ 7. 删除原始文件 │
│ 8. 投放勒索信(HOW_TO_RECOVER_FILES.TXT) │
│ 9. 上传密钥至 C2 服务器 │
└─────────────────────────────────────────────────────────────┘
4.1.3 加密模式配置
| 模式 | 说明 |
|---|
| Ignore | 忽略,不加密 |
| Fast | 仅加密文件头部,速度最快 |
| Strong | 完整加密文件,最安全 |
| Balanced | 根据文件大小智能计算加密区域,兼顾速度与安全性 |
4.1.4 特殊能力
| 能力 | 说明 |
|---|
| 共享加密 | 使用单一密钥加密全网文件,加速大规模加密并便于快速解密 |
| Safe Mode 支持 | 通过脚本强制系统重启进入安全模式,在安全模式下禁用 EDR 后执行加密 |
| 多平台支持 | Windows XP-11、Server 2003-2022、Linux(Ubuntu/Debian)、VMware ESXi |
| 可配置路径 | 支持设置加密优先级路径和忽略路径 |
4.2 核心能力
| 能力 | 说明 |
|---|
| 异步 LAN 扫描 | 识别 DFS(分布式文件系统)和 SMB 协议,实现横向移动 |
| 进程/服务终止 | 批量终止数据库、备份、安全软件相关进程和服务 |
| 卷影副本删除 | 标准勒索软件操作,阻止系统恢复 |
| VHD 卸载 | 检测到虚拟硬盘时支持卸载 |
| 智能进程关闭 | 智能识别并关闭文件锁定进程 |
| 比特币匿名化 | 内置服务维护比特币交易匿名性 |
4.3 C2 架构
| 工具 | 类型 | 说明 |
|---|
| Tor 管理面板 | 管理后台 | 自动化面板, hosted on Tor |
| Tor 泄露站 | 数据泄露 | 全自动泄露网站 |
| Tor 谈判门户 | 受害者沟通 | 基于受害者 ID 的谈判系统 |
| 私密聊天 | 加密通信 | 与恢复公司的秘密通信渠道 |
4.4 RaaS 平台功能
| 功能 | 说明 |
|---|
| 自动化面板 | Tor 托管,全自动化管理 |
| 自动化泄露站 | Tor 泄露博客,全自动更新 |
| 私密聊天 | 与恢复公司的秘密通信 |
| 自定义构建 | 附属成员可创建不同设置和密钥的构建版本 |
| 自定义支持 | 附属成员可在聊天中构建自己的支持体系 |
| 24/7 支持 | 全天候运营支持 |
| 催促消息 | 自动发送催促受害者回复的消息 |
| 访客账户 | 为网络提供商和合作伙伴提供访问目标聊天的访客账户 |
| DDoS 服务 | 额外付费 DDoS/Spam 服务(50万美元起) |
4.5 多平台支持
| 平台 | 语言 | 说明 |
|---|
| Windows Desktop | C++ | XP - 11 |
| Windows Server | C++ | 2003 - 2022 |
| Linux | C++ | Ubuntu、Debian 系列 |
| VMware ESXi | C++ | 虚拟化平台 |
五、攻击链分析
5.1 MITRE ATT&CK 映射
| 阶段 | 技术 | 说明 |
|---|
| 初始访问 | T1190 | 利用公开应用漏洞(VPN、RDP) |
| T1078 | 有效账户(暗网购买凭证) |
| T1566 | 钓鱼邮件 |
| 执行 | T1059 | PowerShell、命令行 |
| T1047 | WMI |
| 持久化 | T1547 | 注册表启动项 |
| 权限提升 | T1068 | 漏洞利用 |
| T1134 | 令牌操纵 |
| 防御规避 | T1562.001 | 禁用安全软件(Safe Mode 下操作) |
| T1070.001 | 清除日志 |
| T1490 | 删除卷影副本 |
| 凭证访问 | T1003.001 | LSASS 内存转储 |
| T1555 | 浏览器凭据窃取 |
| 发现 | T1057 | 进程发现 |
| T1082 | 系统信息发现 |
| T1018 | 远程系统发现 |
| 横向移动 | T1021.001 | 远程桌面协议(RDP) |
| T1021.002 | SMB/Windows 管理共享 |
| T1570 | 横向工具传输(PsExec) |
| 收集 | T1005 | 本地系统数据 |
| T1039 | 共享网络驱动器数据 |
| 渗出 | T1048 | 替代协议外传 |
| 影响 | T1486 | 数据加密勒索 |
| T1490 | 删除备份/影子副本 |
| T1489 | 服务停止 |
| T1491 | 勒索信(HOW_TO_RECOVER_FILES.TXT) |
| T1498 | 网络拒绝服务(DDoS,额外服务) |
5.2 完整攻击链还原
阶段一:初始入侵
┌─────────────────────────────────────────────────────────────┐
│ 入侵路径 A(常见): 漏洞利用 │
│ ────────────────────────── │
│ 1. 扫描公网暴露的 VPN、RDP 等远程服务 │
│ 2. 利用未修补的漏洞获取初始访问权限 │
│ 3. 部署初始载荷 │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ 入侵路径 B: 被盗凭证 │
│ ────────────────── │
│ 1. 从暗网初始访问代理(IAB)购买有效凭证 │
│ 2. 使用被盗凭证登录目标网络 │
│ 3. 建立持久化访问 │
└─────────────────────────────────────────────────────────────┘
┌─────────────────────────────────────────────────────────────┐
│ 入侵路径 C: 钓鱼/恶意下载 │
│ ────────────────────── │
│ 1. 发送钓鱼邮件诱导用户执行恶意附件 │
│ 2. 或用户访问可疑网站下载恶意文件 │
│ 3. 恶意软件作为投放载荷或用户 unknowingly 下载 │
└─────────────────────────────────────────────────────────────┘
阶段二:内网侦察与权限提升
内网侦察
├── 异步 LAN 扫描(DFS、SMB 协议发现)
├── 域枚举与 AD 发现
├── 网络共享与驱动器枚举
├── 备份系统定位
└── 关键服务器定位
权限提升
├── 凭证窃取(LSASS 转储、浏览器凭据)
├── 服务与进程终止(数据库、备份、安全软件)
├── 安装远程访问工具
└── 横向移动准备
阶段三:防御规避与数据窃取
防御规避
├── Safe Mode 重启(禁用 EDR/安全软件)
├── 终止目标进程和服务
├── 删除卷影副本(vssadmin)
├── 清除事件日志
└── VHD 卸载
数据窃取
├── 外传至 C2 服务器
├── 优先: 敏感业务数据、人事数据、财务数据
└── 为三重勒索做准备
阶段四:全网加密
加密部署
├── 横向移动:RDP、SMB(PsExec)、DFS
├── 异步 LAN 扫描发现网络共享
├── 批量扫描共享文件夹
└── 部署加密载荷
加密执行
├── 终止目标进程(数据库、备份、虚拟化、EDR)
├── 删除卷影副本
├── 加密文件(ChaCha20 + RSA-2048,共享密钥模式)
├── 重命名文件(添加10位随机扩展名)
├── 投放勒索信(HOW_TO_RECOVER_FILES.TXT)
├── 上传密钥至 C2 服务器
└── 通过 Tor 谈判门户联系受害者
六、受害者分析
6.1 规模统计
| 来源 | 受害者数 | 截止日期 | 说明 |
|---|
| NoEscape DLS | 未公开完整统计 | 2023.10 | 泄露站最后更新于10月27日 |
| HHS HC3 | 多行业受影响 | 2023.10 | 包含政府、能源、医院等 |
| FortiRecon | 多行业 | 2023.11 | 商业服务、制造、零售为主 |
6.2 行业分布
专业服务 ████████████████████████████████████████ 最高优先级
制造业 ████████████████████████████████ 高优先级
信息技术 ██████████████████████████████ 高优先级
(电信为主)
零售 ██████████████████████████ 中优先级
政府 ████████████████████████ 中优先级
能源 ████████████████████████ 中优先级
医疗健康 ██████████████████ 中优先级
建筑 ████████████████ 中优先级
其他 ████████████████████████████████████████ 广泛
6.3 地理分布
| 区域 | 占比 | 主要国家 |
|---|
| 北美(美国) | ~50%+ | 美国为主要目标,遥遥领先 |
| 欧洲 | ~25% | 多国受影响 |
| 亚太 | ~15% | — |
| 其他地区 | ~10% | 全球影响 |
6.4 知名受害者案例
| 受害者 | 行业 | 国家 | 影响 |
|---|
| 政府机构 | 政府 | 多国 | 政府组织被攻击 |
| 能源企业 | 能源 | — | 能源行业受影响 |
| 医院/诊所 | 医疗 | — | 医院和诊所被攻击 |
| 商业服务企业 | 专业服务 | 北美 | 商业服务为首要目标行业 |
| 制造企业 | 制造 | 多国 | 生产系统中断 |
6.5 受害者特征画像
高概率受害特征:
├── 使用未修补漏洞的公网暴露服务(VPN、RDP)
├── 弱口令或凭证泄露(暗网可购买)
├── 无 MFA 或 MFA 配置不当
├── 依赖 Active Directory 且未加固
├── 无 EDR 或 EDR 配置不当
├── 专业服务、制造、信息技术、零售等行业
├── 北美地区企业为主要目标
└── 中小企业至大型企业全覆盖
七、RaaS 商业模式分析
7.1 阶梯分成模型
| 赎金金额 | 附属分成 | 运营者分成 |
|---|
| ≥ 100万美元 | 80% | 20% |
| ≥ 300万美元 | 85% | 15% |
| > 300万美元 | 90% | 10% |
7.2 附加收入来源
| 服务 | 费用 | 说明 |
|---|
| DDoS 攻击 | 50万美元起 | 作为三重勒索的额外施压手段 |
| Spam 服务 | 50万美元起 | 配合 DDoS 使用 |
7.3 退出骗局影响
退出骗局时间线
├── 2023年12月: Tor 网站突然下线
├── 附属成员存款和赎金分成被卷走
├── 受害者赎金支付后无法获得解密器
├── 黑客论坛(XSS、Exploit)发起仲裁投诉
├── NoEscape 被多个论坛封禁
└── LockBit 趁机招募流离失所的附属成员
八、基础设施分析
8.1 已知基础设施
| 类型 | 值 | 说明 | 状态 |
|---|
| Tor 管理面板 | 自动化后台 | 附属成员管理、构建生成 | 已关闭 |
| Tor 泄露站 | 全自动泄露博客 | 数据泄露与公开羞辱 | 已关闭 |
| Tor 谈判门户 | 受害者 ID 登录 | 基于个人 ID 的谈判系统 | 已关闭 |
| 私密聊天 | 加密通信 | 与恢复公司的秘密通信 | 已关闭 |
8.2 基础设施特征
基础设施策略:
├── Tor 隐藏服务(管理面板、泄露站、谈判门户)
├── 全自动化运营系统
├── 私密聊天系统(恢复公司沟通)
├── 比特币匿名化服务
├── 访客账户系统(合作伙伴访问)
└── 2023年12月全部下线(退出骗局)
九、IOC 完整列表
9.1 文件特征
| 特征 | 值 |
|---|
| 加密扩展名 | 10位随机字符(如 .CCBDFHCHFD、.CBCJDHIHBB) |
| 勒索信文件名 | HOW_TO_RECOVER_FILES.TXT |
| 编程语言 | C++ |
| 检测名称(Avast) | Win32:RansomX-gen [Ransom] |
| 检测名称(Emsisoft) | Trojan.GenericKD.67371017 (B) |
| 检测名称(Malwarebytes) | Ransom.Avaddon |
| 检测名称(Kaspersky) | HEUR:Trojan-Ransom.Win32.Generic |
| 检测名称(Sophos) | Mal/Generic-S |
| 检测名称(Microsoft) | Trojan:Win32/Noescape!ic |
| Trend Micro 标识 | Ransom.Win32.NOESCAPE.A、Ransom.Win32.NOESCAPE.B |
9.2 命令特征
| 行为 | 命令 |
|---|
| 删除卷影副本 | vssadmin delete shadows /all /quiet |
| 服务终止 | 批量终止数据库、备份、安全软件相关服务 |
| 进程终止 | 批量终止 EDR、虚拟化、备份进程 |
9.3 行为指标
| 行为 | 说明 |
|---|
| 大量文件快速重命名 | 添加10位随机字符扩展名 |
| vssadmin.exe 异常调用 | vssadmin delete shadows /all /quiet |
| wbadmin.exe 被终止 | 阻止备份恢复 |
| 多个服务被停止 | 终止安全软件、备份服务、数据库 |
| Safe Mode 重启 | 强制系统进入安全模式后执行加密 |
| 异步 LAN 扫描 | DFS/SMB 协议发现 |
| 异常 HTTP POST 请求 | C2 通信 |
| 比特币交易匿名化 | 内置匿名化服务调用 |
十、检测规则
10.1 Sigma 规则
title: NoEscape Ransomware - Shadow Copy Deletion
id: noescape-shadow-copy-deletion
status: experimental
description: 检测 NoEscape 勒索软件删除影子副本的行为
author: Threat Intelligence Team
date: 2026/06/24
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains|all:
- 'vssadmin'
- 'delete'
- 'shadows'
- '/quiet'
condition: selection
level: critical
title: NoEscape Ransomware - Safe Mode Reboot Script
id: noescape-safe-mode-reboot
status: experimental
description: 检测强制系统进入安全模式的异常脚本行为
author: Threat Intelligence Team
date: 2026/06/24
logsource:
category: process_creation
product: windows
detection:
selection:
CommandLine|contains: 'bcdedit'
CommandLine|contains|all:
- 'safeboot'
- 'network'
condition: selection
level: high
title: NoEscape Ransomware - Mass Service Termination
id: noescape-service-termination
status: experimental
description: 检测批量终止数据库、备份和安全软件服务的行为
author: Threat Intelligence Team
date: 2026/06/24
logsource:
category: process_creation
product: windows
detection:
selection:
Image|endswith: '\net.exe'
CommandLine|contains: 'stop'
CommandLine|contains|any:
- 'veeam'
- 'sql'
- 'backup'
- 'defend'
- 'antivirus'
condition: selection
level: high
10.2 YARA 规则
rule NoEscape_Ransomware {
meta:
description = "Detects NoEscape ransomware samples"
author = "Threat Intelligence Team"
date = "2026-06-24"
strings:
$ransom_note = "HOW_TO_RECOVER_FILES.TXT" ascii
$chacha = "ChaCha20" ascii
$rsa = "RSA-2048" ascii
$safe_mode = "safeboot" ascii
$vssadmin = "vssadmin delete shadows" ascii
$dfs_scan = "DFS" ascii
$smb_scan = "SMB" ascii
condition:
$ransom_note and 2 of ($chacha, $rsa, $safe_mode, $vssadmin, $dfs_scan, $smb_scan)
}
十一、风险评估矩阵
11.1 威胁能力评估
| 能力维度 | 评分(1-5) | 说明 |
|---|
| 技术复杂度 | 4 | C++ 原生开发、三重勒索、Safe Mode 加密、多平台支持 |
| 运营成熟度 | 4 | 完整 RaaS 平台、自动化泄露站、DDoS 附加服务 |
| 资源水平 | 3 | 运营周期较短(约7个月),但攻击强度高 |
| 攻击速度 | 4 | 共享加密密钥模式加速大规模加密 |
| 隐蔽性 | 4 | Safe Mode 规避 EDR、异步 LAN 扫描、Living-off-the-Land |
| 适应性 | 2 | 退出骗局后组织消亡,但代码可能被复用 |
| 总体威胁等级 | 🟠 高 | 3.5/5(历史威胁,代码可能被复用) |
11.2 受害者风险评估
| 风险因素 | 概率 | 影响 | 风险等级 |
|---|
| 数据永久丢失 | 高 | 极高 | 🔴 极高 |
| 数据公开泄露 | 高 | 极高 | 🔴 极高 |
| 业务中断 | 极高 | 极高 | 🔴 极高 |
| DDoS 攻击 | 中 | 高 | 🟠 高 |
| 合规处罚 | 高 | 高 | 🔴 高 |
| 舆情危机 | 高 | 高 | 🔴 高 |
十二、缓解建议
12.1 战略层建议(长期)
| 优先级 | 建议 | 说明 |
|---|
| P1 | 建立不可变备份体系 | 离线 + 不可变 + 定期测试恢复 |
| P1 | 零信任架构转型 | 最小权限、微隔离、持续验证 |
| P2 | 网络分段 | IT/OT 分离、关键资产隔离 |
| P2 | 身份安全强化 | 密码less MFA、PAM、条件访问 |
| P3 | 威胁情报共享 | 加入 ISAC、共享 IOC |
| P3 | 安全意识培训 | 钓鱼模拟、社工防御 |
12.2 运营层建议(中期)
| 优先级 | 建议 | 说明 |
|---|
| P1 | 漏洞管理强化 | 72小时内修补高危漏洞 |
| P1 | EDR 全覆盖 | 所有端点部署 EDR,启用防篡改 |
| P2 | 攻击面管理 | 定期扫描公网暴露资产(VPN、RDP) |
| P2 | 凭证轮换 | 90天轮换、禁用默认凭证 |
| P3 | 日志集中管理 | SIEM、不可变日志、保留90天+ |
| P3 | 事件响应演练 | 季度桌面推演、年度实战演练 |
12.3 战术层建议(立即执行)
针对 VPN/RDP 暴露用户
# 1. 强制 MFA 对所有 VPN 账户
# 2. 修补已知高危漏洞
# 3. 限制 VPN 访问 IP 白名单
# 4. 禁用不必要的远程服务
# 5. 检查 VPN 设备配置
# 6. 全量轮换 VPN 凭证
针对已感染环境
# 1. 隔离受感染主机
netsh advfirewall firewall set rule group="remote desktop" new enable=no
netsh advfirewall firewall set rule group="file and printer sharing" new enable=no
# 2. 检查 Safe Mode 异常配置
bcdedit /enum
# 3. 检查卷影副本
Get-WmiObject Win32_Shadowcopy
# 4. 检查异常服务终止
Get-EventLog -LogName System -EntryType Information -Newest 50 | Where-Object {$_.Message -like "*stopped*"}
# 5. 检查异常网络连接
netstat -ano | findstr "ESTABLISHED"
# 6. 检查勒索信文件
Get-ChildItem -Recurse -Filter "HOW_TO_RECOVER_FILES.TXT" -ErrorAction SilentlyContinue
# 7. 检查10位随机扩展名的加密文件
Get-ChildItem -Recurse | Where-Object {$_.Extension -match '^\.[A-Z]{10}$'}
# 8. 收集取证数据
12.4 解密恢复路径
| 场景 | 可行路径 | 成功率 | 建议 |
|---|
| 有离线备份 | 备份恢复 | 极高 | ✅ 最可靠 |
| 无备份 | 等待执法行动 | 极低 | ⏳ 持续监控 |
| 考虑付费 | — | 不推荐 | ❌ 强烈不建议(运营者已跑路,支付无法获得解密器) |
❌ 无公开解密工具
NoEscape 使用 ChaCha20 + RSA-2048 混合加密方案,目前无公开可用的解密工具。由于运营者已于2023年12月退出骗局,获取解密密钥的可能性极低。
恢复途径:
- 检查是否存在离线备份或虚拟机快照
- 检查卷影副本是否幸存(如未被删除)
- 监控执法行动可能带来的密钥泄露
十三、核心建议(优先级排序)
- 立即:强制 MFA 对所有 VPN/RDP 账户
- 立即:修补所有公网暴露服务的高危漏洞
- 24小时内:全量轮换 VPN/RDP 凭证
- 48小时内:部署不可变备份 + 离线隔离策略
- 1周内:全面攻击面扫描,关闭不必要的公网暴露
附录
附录 A:权威信息源索引
| # | 来源 | 说明 |
|---|
| 1 | HHS HC3 | NoEscape Ransomware 分析笔记(2023年10月) |
| 2 | Cyble CRIL | NoEscape RaaS 技术分析(2023年6月) |
| 3 | SOCRadar | Dark Web Profile: NoEscape Ransomware(2023年9月) |
| 4 | Fortinet FortiGuard | Ransomware Roundup - NoEscape(2023年11月) |
| 5 | SentinelOne | NoEscape Ransomware Anthology |
| 6 | Trend Micro | Threat Encyclopedia: NoEscape |
| 7 | Huntress | No Escape Virus Malware: Full Overview |
| 8 | TheSecMaster | NoEscape Ransomware 综合分析(2025年3月) |
| 9 | The Cyber Express | NoEscape RaaS Triple-Extortion 报告(2023年6月) |
| 10 | SafeBreach | NoEscape Ransomware Threat Coverage(2023年10月) |
附录 B:术语表
| 术语 | 定义 |
|---|
| RaaS | Ransomware-as-a-Service,勒索软件即服务 |
| DLS | Data Leak Site,数据泄露站 |
| C2 | Command and Control,命令与控制 |
| IOC | Indicator of Compromise,入侵指标 |
| TTP | Tactics, Techniques, and Procedures,战术、技术和程序 |
| IAB | Initial Access Broker,初始访问代理 |
| Exit Scam | 退出骗局,运营者卷走资金后消失 |
| CIS | Commonwealth of Independent States,独联体 |
| ChaCha20 | 流加密算法,速度快 |
| RSA | Rivest-Shamir-Adleman,非对称加密算法 |
| Safe Mode | Windows 安全模式,系统最小化启动环境 |
| DFS | Distributed File System,分布式文件系统 |
| SMB | Server Message Block,服务器消息块协议 |
| DDoS | Distributed Denial of Service,分布式拒绝服务 |
| Triple Extortion | 三重勒索,加密 + 数据泄露 + DDoS |
附录 C:持续跟踪计划
本页面将作为 NoEscape 组织的长期跟踪情报页面,持续更新以下内容:
- 退出骗局后续影响分析
- 代码被其他组织复用的情况
- 新发现的 IOC 与检测规则
- 执法行动与归因更新
- 前体组织 Avaddon 关联分析更新
- LockBit 等组织吸纳 NoEscape 附属成员的动态
报告修订历史
| 版本 | 日期 | 修订内容 |
|---|
| v1.0 | 2026-06-24 | 初始发布 |
免责声明:本报告基于公开来源情报编制,仅供信息参考。本报告中的信息按"原样"提供,不对其准确性、完整性或适用性作任何明示或暗示的保证。使用本报告中的信息需自行承担风险。
分类等级说明:TLP:AMBER - 信息可在组织内部共享,但不可公开发布。