CYFIRMA发布了对新出现的网络威胁的深入分析:Gunra Ransomware。本报告详细介绍了勒索软件的先进技术,对各个行业的影响,以及它给全球组织带来的重大风险。Gunra勒索软件是一个相对较新的威胁,通过先进的加密和数据泄漏策略相结合来针对Windows系统。这种“双重勒索”方法是一个关键特征,因为勒索软件不仅加密受害者的文件,而且还有可能在其Tor托管的勒索网站上泄露被盗数据。

分析显示,Gunra勒索软件已经投下了广泛的网络,影响了全球的不同行业。房地产,制药和制造业等行业都成为其攻击的受害者。日本、埃及、巴拿马、意大利和阿根廷的公司也受到影响。

Gunra 采用一系列恶意行为来渗透和破坏系统。这些包括:

枚举运行过程通过 Windows 管理仪器 (WMI) 删除阴影副本检索系统信息检测调试器列举文件

根据该报告,Gunra勒索软件“采用先进的规避和反分析技术,用于感染Windows操作系统,同时最大限度地降低检测风险。这包括“混淆恶意活动,避免基于规则的检测系统,强大的加密方法,赎金要求以及在地下论坛上发布数据的警告”。一旦系统被感染,Gunra勒索软件就会加密文件并附加“。ENCRT”文件名的扩展名。例如,一个名为“document.docx”的文件将变成“document.docx.ENCRT”。在文件加密的每个目录中,勒索软件会丢弃名为“R3ADM3.txt”的赎金票据。本说明包含有关受害者如何恢复其文件的说明,其中包括支付赎金。这些攻击背后的主要动机是经济利益。

“您的所有数据已被登记!它宣称,“我们已经抛弃了你的敏感业务数据,然后加密了你的整个数据。这张纸条迫使受害者迅速采取行动,说:“你只有5天时间与我们联系!它还警告受害者不要试图自己恢复文件:“不要改变或尝试自己恢复任何文件。“我们不可能恢复它们。

Gunra勒索软件集成了几种技术来逃避检测和阻碍分析。

它使用 Windows API 函数IsDebuggerPresent检测它是否在调试器下运行。它利用GetCurrentProcess和TerminateProcess过程操纵、特权升级和反分析的功能。

cybersecurityCYFIRMA建议组织加强网络安全态势,以抵御Gunra勒索软件。主要建议包括:

加强网络钓鱼防御监控内部网络移动实施强大的备份策略

Gunra勒索软件的出现凸显了网络威胁的日益复杂。正如报告所总结的那样cybersecurity,“Gunra勒索软件体现了网络安全领域日益增长的复杂性,展示了与现代勒索软件活动相一致的先进恶意行为。