Gunra勒索软件集团推出高效Linux变种

摘要

• Gunra勒索软件的Linux变种显著扩大了攻击面，表明该组织意图突破原有攻击范围
• Linux变种具备并行100线程加密能力，支持部分文件加密，并允许将RSA加密密钥存储在独立文件中
• 自2025年4月首次活动以来，已攻击巴西、日本、加拿大等多国企业，涉及制造、医疗、IT等多个行业
• Trend Vision One™可检测相关攻击指标(IOC)，并提供狩猎查询、威胁情报报告等防护手段

技术分析

执行特性

Linux变种需要多个运行时参数，缺少参数时会显示使用说明。执行时会在控制台输出活动日志。

多线程加密

• 支持配置加密线程数（上限100个），远超同类勒索软件（通常50线程）
• 创建等待循环确保所有加密线程完成才终止进程
• 通过spawn_or_wait_thread函数动态管理并发加密线程数

加密流程

1. 支持按扩展名筛选目标文件（“all"参数加密所有文件）
2. 递归扫描目录结构
3. 加密后追加.ENCRT扩展名（不投放勒索说明文件）

加密算法

1. 采用RSA+ChaCha20混合加密
2. 运行时需提供PEM格式的RSA公钥文件
3. 生成32字节ChaCha20密钥+12字节nonce+256字节填充数据
4. 支持通过–ratio/-r参数控制部分文件加密比例
5. 提供–store/-s参数将加密密钥单独存储为keystore文件

防护建议

1. 资产审计与漏洞评估
2. 网络基础设施安全配置
3. 定期安全培训与渗透测试
4. 采用AI驱动的威胁检测技术
5. 使用Trend Vision One™平台进行主动防御

威胁情报

Trend Vision One客户可通过威胁情报模块获取：

• 最新威胁分析报告
• 专属狩猎查询语句
• 完整的IOC指标列表