Gunra 勒索软件集团推出高效 Linux 变种

摘要

Gunra 勒索软件的 Linux 变种显著扩大了该组织的攻击面，显示出其超越原始攻击范围的扩张意图。该 Linux 变种具有以下显著特征：

• 支持多达 100 个并行加密线程

• 支持部分文件加密

• 允许攻击者控制每个文件的加密比例

• 提供将 RSA 加密密钥存储在单独密钥库文件中的选项

自 2025 年 4 月首次被发现以来，Gunra 勒索软件已攻击了来自巴西、日本、加拿大、土耳其、韩国、台湾和美国的企业。受害者包括制造业、医疗保健、IT 和农业等行业的组织，以及法律和咨询公司。

Trend Vision One™可检测并阻止与 Gunra 勒索软件相关的入侵指标(IOCs)。Trend Vision One 客户还可以访问狩猎查询、威胁洞察和威胁情报报告，以获取有关 Gunra 及其 Linux 变种的丰富背景信息和最新更新。

技术细节

执行要求

Gunra 勒索软件的 Linux 变种在运行时需要多个参数。如果未提供任何参数，它会显示使用说明；如果缺少必需的参数之一，它会提示用户提供缺失的输入，然后继续执行其例程。

多线程加密

该 Linux 变种需要配置指定用于加密的线程数，上限为 100。我们的调查证实，Gunra 可以成功利用多达 100 个加密线程。

与其他勒索软件不同，Gunra 不仅允许配置线程数，还将最大线程数提高到 100，使其成为一个强大的新变种。

加密算法

该勒索软件结合使用 RSA 和 ChaCha20 加密算法：

1. 生成随机的 32 字节 ChaCha20 密钥、12 字节 nonce 和 256 字节填充数据

2. 使用 RSA 公钥加密生成的加密材料

3. 使用 ChaCha20 流密码以 1MB 的块加密文件数据

该算法支持基于执行时提供的比例参数进行部分加密。如果未提供值，则加密整个文件。

安全建议

为防范 Gunra 勒索软件及类似威胁，组织应实施全面的安全策略：

• 审计和清点资产、数据、设备和日志

• 管理硬件和软件配置，监控网络端口、协议和服务

• 激活防火墙和路由器等网络基础设施设备的安全配置

• 定期进行漏洞评估，更新软件和应用程序

• 对员工进行定期安全培训

• 进行红队演练和渗透测试

• 使用 AI 和机器学习驱动的先进检测技术

Trend Vision One™防护方案

Trend Vision One™是唯一一个集中管理网络风险暴露、安全操作和强大分层保护的 AI 驱动企业网络安全平台。该整体方法可帮助企业预测和预防威胁，加速实现主动安全成果。

Trend 客户可以访问 Trend Vision One™威胁洞察，获取有关新兴威胁和威胁行为者的最新见解。此外，还提供狩猎查询和 IOC 扫描功能，帮助客户检测环境中的恶意指标。更多精彩内容 请关注我的个人公众号 公众号（办公 AI 智能小助手）公众号二维码

办公AI智能小助手