勒索病毒
專攻Linux系統!勒索軟體Gunra高效變種現身
本文說明 Gunra 勒索病毒最新的 Linux 變種如何提高加密速度以及提供客製化功能,並藉由進階的跨平台手法來擴大集團版圖。
摘要:
- Gunra 勒索病毒的 Linux 變種擴大了該集團的攻擊面,顯示出該集團希望進一步擴張原有版圖的野心。
- 這個 Linux 變種具備了一些值得注意功能,包括:可同時執行 100 個加密執行緒,並支援局部加密。此外,駭客還可控制每個檔案要加密的內容多寡,並可選擇將 RSA 加密後的金鑰保存在另外的金鑰儲存區 (keystore) 檔案。
- 自 2025 年 4 月被首次發現以來,Gunra 勒索病毒已攻擊了巴西、日本、加拿大、土耳其、南韓、台灣及美國等地的企業,受害機構遍及製造、醫療、IT 及農業等產業,還有法律和顧問機構。
- Trend Vision One™ 已可偵測並攔截 Gunra 勒索病毒相關的入侵指標 (IoC)。此外,Trend Vision One 的客戶還可透過追蹤查詢、Threat Insights 及 Intelligence Reports 來取得有關 Gunra (包括其 Linux 變種) 的豐富資訊和最新消息。
2025 年 4 月,Gunra 勒索病毒首次在一起針對 Windows 系統的攻擊行動當中被發現,其攻擊技巧是以惡名昭彰的 Conti 勒索病毒為靈感。根據我們對勒索病毒情勢的監控資料顯示,Gunra 背後的駭客正試圖擴大版圖,推出了一個 Linux 變種,這表示他們正朝著跨平台的攻擊策略邁進。
今年 5 月,這個新的勒索病毒集團據稱從杜拜某家受害醫院外洩了 40 TB 資料,因而登上媒體版面。趨勢科技的威脅情報資料指出,土耳其、台灣、美國及南韓的企業都出現了 Gunra 勒索病毒的活動足跡。這些資料顯示勒索病毒集團曾試圖攻擊政府機關以及醫療、製造和交通運輸等產業的企業。同時,Gunra 勒索病毒的資料外洩網站也宣稱他們成功入侵了巴西、日本、加拿大、土耳其和美國的企業。此外,該網站還宣稱其受害機構遍布製造、法律諮詢、醫療、IT 及農業等產業。該集團自 4 月份首次被發現至今,已在其資料外洩網站上公布了 14 家受害機構。
本文探討這個最新發現的 Gunra 勒索病毒 Linux 變種的技術細節、可能造成的影響,以及截至目前為止我們知道的所有資訊。至於有關該勒索病毒集團如何突破防線以及其散播技巧的詳細資訊,留待日後有機會再另行補充。
執行
Gunra 勒索病毒的 Linux 變種在執行時須指定多項參數,若未提供參數,則將顯示使用說明。如果有某個必要的參數未提供,就會提醒使用者先提供遺漏的參數再繼續執行。



執行時,Linux 變種也會在主控台上顯示其活動記錄。

多執行緒加密
Gunra 勒索病毒的 Linux 變種需要透過組態設定來指定加密時所要使用的執行緒數量,上限為 100 個。我們的研究證實 Gunra 在執行加密時確實可成功運用高達 100 個執行緒。
儘管其他勒索病毒集團的惡意檔案有時也具備多執行緒加密功能,但執行緒數量通常是固定的,而且會根據受害電腦上可用的處理器數量來決定。不過還是有一些勒索病毒可設定執行緒數量,例如 BERT 勒索病毒,但就目前看到的情況,最多也只允許 50 個執行緒。Gunra 這個新的變種不僅提供了更多組態設定,還提高了加密作業的執行緒數量,使它成為一個強大的新變種。

接下來,勒索病毒會進入一個等候迴圈,直到所有加密執行緒都完成之後才會讓程式終止。它會每 10 毫秒檢查一次是否還有任何加密執行緒仍在執行,當所有執行緒都完成加密作業之後,就會結束程式。

此外,勒索病毒還包含了一個名為「spawn_or_wait_thread」的函式來管理可同時加密的檔案數量。當勒索病毒想要將某個檔案加密時,此函式會先檢查目前正在執行的加密執行緒數量是否已到達程式執行時所設定的上限。

加密程序
Gunra 勒索病毒的 Linux 變種在使用時還需要指定要加密的檔案路徑和副檔名。

如果指定 all 這個數值,勒索病毒就會將它找到的每一個檔案全都加密。否則,它就會根據一個以逗號為分隔的副檔名清單來處理,將符合指定副檔名的檔案加密。

如果指定的目標是一個目錄,那它就會循環掃描目錄中的所有「資料夾」和「子資料夾」來尋找要加密的檔案。如果指定的目標是一般檔案,那它會檢查其副檔名是不是 .ENCRT 來判斷該檔案是否已經被加密。如果指定的目標是一個區塊裝置,那就只有在執行時使用了 --exts=disk 這個參數時,才會嘗試將它加密。



如果目標檔案符合要被加密的條件,就會啟動負責加密的工作執行緒 encrypt_files_thread,該執行緒會呼叫 hybrid_encrypt_file 來執行實際的加密動作。

檔案在加密之後會被重新命名並加上一個 .ENCRT 副檔名。值得注意的是,Gunra 勒索病毒的 Linux 變種不會留下勒索訊息。


加密演算法
勒索病毒在執行時期所需要的其中一個參數就是一個含有 RSA 公開金鑰的 PEM 檔案路徑。

這個勒索病毒結合了 RSA 和 ChaCha20 兩種加密演算法。它會產生一些隨機的加密材料,包括隨機的 32 位元組 ChaCha20 金鑰、12 位元組 nonce 以及 256 位元組的填充資料。

接著會讀取 PEM 檔案來取得 RSA 公開金鑰,用來將前面產生的加密材料加密。

在實際執行檔案加密時,它會使用 ChaCha20 串流 cipher 以及前面產生的金鑰和 nonce 來將檔案資料加密成一個個以 1MB 為單位的區塊。該演算法還可支援局部加密,它會根據程式執行時指定的 -r 或 --ratio 參數來決定加密的比例。此外,還可用 -l 或 --limit 參數來控制檔案被加密的內容多寡。如果未指定這些數值,那麼整個檔案都會被加密。

當指定 -s 或 --store 參數時,勒索病毒會將每個檔案的 RSA 加密大型二進位物件 (Blob) 儲存在另一個金鑰儲存區 (keystore) 檔案中,而非附加到已加密的檔案。



結論與資安建議
最新發現的 Gunra 勒索病毒 Linux 變種讓該集團的攻擊範圍大幅增加,證明了該集團試圖調整方向以擴張原有版圖的野心。像這樣轉換至 Linux 環境的作法是目前勒索病毒情勢的一項最新發展趨勢:藉由跨平台來擴大延伸觸角,藉此增加潛在受害者。
這個 Linux 變種具備了一些值得注意功能,包括:可同時執行高達 100 個加密執行緒、支援局部加密,甚至可讓駭客掌控每個檔案要加密的內容多寡,使得它的加密速度更快、也更靈活。與 Windows 版本不同的是,它不會在系統植入一個勒索訊息檔案,僅單純專注於加快速度並提供可設定的檔案加密選項,包括可將 RSA 加密後的金鑰保存在另外的金鑰儲存區檔案中。
為了防範 Gunra 勒索病毒與類似的勒索病毒威脅,企業應建置一套完整的資安策略,有系統地分配資源以建立強大的防禦。以下是一些有助於防範勒索病毒風險的最佳實務原則:
- 稽核和盤點資產、資料、裝置、事件,以及案件記錄檔。
- 妥善管理硬體和軟體組態設定,並且監控網路連接埠、通訊協定及服務。
- 在網路基礎架構裝置 (如防火牆和路由器) 上啟用安全的組態設定。
- 定期執行漏洞評估、將軟體和應用程式更新至最新版本,並且對作業系統和應用程式套用修補更新或虛擬修補。
- 定期舉辦教育訓練並評量員工的資安技能。
- 進行紅隊演練與滲透測試。
- 使用進階偵測技術,例如 AI 與機器學習。
採用 Trend Vision One™ 的主動式防護
Trend Vision One™ 是唯一將資安曝險管理、資安營運以及強大的多層式防護集中在一起的 AI 驅動企業網路資安平台。這套全方位的方法能協助您企業預測及防範威脅,讓您在相關數位資產上加速實現主動式防護的成果。有了 Trend Vision One,您就能消除資安盲點,專心處理最重要的問題,讓資安晉升為支援您創新的策略合作夥伴,尤其是當遇到本文探討的新式勒索病毒變種時。
Trend Vision One™ Threat Intelligence
為了隨時掌握不斷演變的威脅,趨勢科技客戶可透過 Trend Vision One™ Threat Insights 來取得 Trend™ Research 有關新興威脅及駭客集團的最新洞見。
Trend Vision One Threat Insights
新興威脅:Gunra 勒索病毒朝跨平台邁進:從 Windows 到 Linux
Trend Vision One Intelligence Reports 應用程式 (IoC 掃描)
Gunra 勒索病毒朝跨平台邁進:從 Windows 到 Linux
追蹤查詢
Trend Vision One Search 應用程式
Trend Vision One 客戶可以使用 Search 應用程式來尋找或追蹤本文提到的惡意指標,看看是否也出現在自己的環境中。
被 Gunra 勒索病毒加密的檔案:
eventSubId:106 AND objectFilePath:/\.ENCRT$/
除此之外,Trend Vision One 客戶還可啟用 Threat Insights 權利來取得更多追蹤查詢。
入侵指標 (IoC)
詳細的 IoC 清單請至此處下載。