Nimble ‘Gunra’ Ransomware Evolves With Linux Variant

Elizabeth Montalbano, Contributing Writer
July 29, 2025
4 Min Read

Source: Zoonar GmbH via Alamy Stock Photo

一个新兴的勒索软件网络犯罪集团正在对文件加密进行独特改进，其恶意软件的Linux变种可以并行运行多达100个加密线程，并支持部分加密。

根据趋势科技（Trend Micro）的报告，Gunra勒索软件团伙于4月首次出现在网络犯罪领域，其针对Windows系统的技术灵感来自现已解散的Conti组织。该团伙在泄露网站上发布被盗数据，最近推出了Linux变种，表明他们有意通过跨平台攻击扩展其业务。

趋势科技的威胁研究人员Jeffrey Francis Bonaobra、Melvin Singwa和Emmanuel Panopio在博客文章中写道，该变种还采用了新的加密方法，使攻击者能够更好地控制文件加密的比例，并提供了将RSA加密密钥保存在单独密钥库文件中的选项。

他们写道：“Gunra勒索软件的Linux变种需要配置指定用于加密的线程数，上限为100。我们的调查确认Gunra可以成功利用多达100个加密线程。”

研究人员表示，这使Gunra与其他勒索软件团伙处理多线程加密的方式不同。通常，这种类型的加密是固定的，基于受害者机器中可用的处理器数量。虽然其他勒索软件（如BERT）允许自定义配置线程，但到目前为止，它们只允许最多50个同时线程。

“这个Gunra更新具有可配置性和增加的加密线程数，使其成为一个强大的新变种，“他们写道。

快速移动的威胁

Gunra在成立后迅速声名狼藉，据称在5月从一家医院泄露了40TB的数据。该团伙针对全球组织，已经捕获了来自不同地理区域的众多受害者，包括巴西、日本、加拿大、土耳其、韩国、台湾和美国。研究人员表示，根据其泄露网站，受害行业也多样化，包括制造业、法律和咨询、医疗保健、IT和农业。

尽管最初针对Windows系统，但现在该团伙将其勒索软件带到Linux机器上，采用高度特定的加密，为攻击者提供速度和灵活性。根据趋势科技的说法，该变种不仅需要配置指定用于加密的线程数，还需要特定的文件路径和文件扩展名进行加密。例如，当使用值"all"加密时，勒索软件会加密每个发现的文件。“否则，它处理逗号分隔的文件扩展名列表，并仅加密匹配指定扩展名的文件，“研究人员指出。

一旦安装，勒索软件会创建一个等待循环，防止自身终止，直到所有加密线程完成。他们补充说，然后每10毫秒检查一次是否有任何加密线程仍在运行，一旦所有线程完成加密任务，就终止执行。

研究人员观察到，Gunra的Linux变种与其Windows版本的不同之处在于它"完全跳过投放赎金票据，而是纯粹专注于快速和可配置的文件加密。”

防范高级勒索软件

勒索软件仍然是一个重大的企业威胁，随着一些团伙关闭而其他团伙迅速崛起或取而代之，形势不断变化。提供多种勒索软件即服务（RaaS）附属业务模式的创新也保持了这个领域的活跃性和相关性。

鉴于Gunra在相对较短的时间内取得了重大进展，趋势科技建议防御者将该团伙纳入监控范围，并采取措施限制其暴露于妥协的风险。为此，组织应"实施全面的安全策略，系统地分配资源以建立强大的防御，“研究人员建议。

一些最佳实践包括：审计和清点资产、数据、设备和事件及事故日志；管理硬件和软件配置；监控网络端口、协议和服务；激活网络基础设施设备（如防火墙和路由器）上的安全配置；以及进行定期漏洞评估。

根据趋势科技的说法，防御者还应定期培训和评估员工的安全技能，进行红队演习和渗透测试；并使用包括人工智能和机器学习在内的高级检测技术。

关于作者

Elizabeth Montalbano是一名自由撰稿人、记者和治疗写作导师，拥有超过25年的专业经验。她的专业领域包括技术、商业和文化。Elizabeth此前在凤凰城、旧金山和纽约市担任全职记者；她目前居住在葡萄牙西南海岸的一个村庄。在空闲时间，她喜欢冲浪、与狗一起徒步旅行、旅行、演奏音乐、瑜伽和烹饪。