-
09/04/2020
-
109
-
989 bài viết
Gunra ransomware: Mã hóa đa luồng, xóa sạch bản sao lưu trên Windows
Một biến thể ransomware mới có tên Gunra vừa được phát hiện đang nhắm vào hệ điều hành Windows. Mã độc này sử dụng kỹ thuật mã hóa dữ liệu đa luồng kết hợp với hành vi xóa bản sao lưu hệ thống nhằm ngăn chặn nạn nhân khôi phục dữ liệu. Gunra được ghi nhận lần đầu vào tháng 04/2025 và nhanh chóng thu hút sự chú ý do mang dấu ấn kỹ thuật của nhóm Conti - nhóm ransomware từng gây ra nhiều cuộc tấn công quy mô lớn trước khi bị rò rỉ mã nguồn nội bộ.
Tuy nhắm vào dữ liệu người dùng, Gunra tránh mã hóa các thư mục quan trọng như Windows, Boot, System Volume Information. Nó cũng loại trừ các tập tin định dạng .exe, .dll, .lnk và cả những tệp đã bị mã hóa với phần mở rộng .ENCRT. Đặc biệt, Gunra không mã hóa thông điệp tống tiền (R3ADM3.txt) và tệp log có tên CONTI_LOG.txt – chi tiết gợi nhắc về mối liên hệ kỹ thuật với ransomware khét tiếng Conti.
Ghi chú tiền chuộc
Hành động này vô hiệu hóa hoàn toàn Volume Shadow Copy, cơ chế sao lưu nội bộ quan trọng nhất của Windows, thường được dùng để phục hồi hệ thống khi gặp sự cố như nhiễm ransomware. Với từng lệnh gọi trực tiếp WMIC, Gunra đảm bảo không để lại bất kỳ con đường khôi phục nào khả thi cho nạn nhân. Khi không còn lựa chọn khôi phục nào khả thi, nạn nhân dễ bị đẩy vào thế phải cân nhắc nghiêm túc việc trả tiền chuộc.
Không dừng lại ở đó, Gunra còn triển khai mã hóa có kiểm soát để tối ưu khả năng chuộc tiền. Nếu phát hiện ổ đĩa hệ thống là ổ C, ransomware chỉ hoạt động trong thư mục C:\Users. Chiến thuật này giữ cho hệ điều hành vẫn có thể khởi động và vận hành bình thường, qua đó đảm bảo nạn nhân vẫn có thể đọc được thông báo đòi tiền và thực hiện liên lạc với kẻ tấn công.
Gunra không chỉ là một biến thể ransomware. Nó đại diện cho xu thế tấn công mới, nơi mã độc vừa tăng tốc mã hóa vừa phá hủy mọi cơ hội khôi phục. Trong bối cảnh đó, năng lực phòng thủ thôi là chưa đủ, việc phục hồi dữ liệu và duy trì hoạt động sau tấn công phải trở thành năng lực bắt buộc trong mọi kế hoạch ứng phó.
Tối ưu hóa tốc độ mã hóa và lựa chọn mục tiêu có chủ đích
Ngay khi được thực thi, Gunra tự động tạo số luồng xử lý tương ứng với số lõi logic của CPU để đẩy nhanh tiến trình mã hóa. Mỗi luồng sinh khóa phiên riêng bằng cách sử dụng khóa RSA công khai tích hợp sẵn trong mã nhị phân. Từ đó, ransomware tạo khóa ChaCha20 để thực hiện mã hóa dữ liệu với hiệu suất tối đa. Việc tận dụng kiến trúc CPU giúp Gunra hoàn tất việc mã hóa nhanh hơn đáng kể so với các ransomware hoạt động đơn luồng truyền thống, rút ngắn thời gian phát hiện và phản ứng từ phía người dùngTuy nhắm vào dữ liệu người dùng, Gunra tránh mã hóa các thư mục quan trọng như Windows, Boot, System Volume Information. Nó cũng loại trừ các tập tin định dạng .exe, .dll, .lnk và cả những tệp đã bị mã hóa với phần mở rộng .ENCRT. Đặc biệt, Gunra không mã hóa thông điệp tống tiền (R3ADM3.txt) và tệp log có tên CONTI_LOG.txt – chi tiết gợi nhắc về mối liên hệ kỹ thuật với ransomware khét tiếng Conti.
Ghi chú tiền chuộc
Xóa sạch sao lưu, khóa đường phục hồi
Sau khi mã hóa dữ liệu, Gunra thực hiện bước tiếp theo để khóa chặt cơ hội khôi phục. Ransomware này xóa các bản sao lưu Volume Shadow Copy của hệ thống. Thay vì dùng lệnh phổ biến như vssadmin, nó gọi trực tiếp Windows Management Instrumentation Command-line (WMIC) thông qua cmd.exe, cho thấy mức độ kiểm soát sâu đối với máy bị nhiễm.
Mã:
cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy where "ID={GUID}" deleteHành động này vô hiệu hóa hoàn toàn Volume Shadow Copy, cơ chế sao lưu nội bộ quan trọng nhất của Windows, thường được dùng để phục hồi hệ thống khi gặp sự cố như nhiễm ransomware. Với từng lệnh gọi trực tiếp WMIC, Gunra đảm bảo không để lại bất kỳ con đường khôi phục nào khả thi cho nạn nhân. Khi không còn lựa chọn khôi phục nào khả thi, nạn nhân dễ bị đẩy vào thế phải cân nhắc nghiêm túc việc trả tiền chuộc.
Chiến thuật tâm lý và kiểm soát vùng mã hóa
Gunra không chỉ mã hóa dữ liệu mà còn đánh vào yếu tố tâm lý. Sau khi tấn công, nạn nhân được yêu cầu truy cập một trang web do nhóm tấn công kiểm soát để nhận hướng dẫn thanh toán. Kèm theo đó là cảnh báo chỉ có năm ngày để bắt đầu đàm phán. Tối hậu thư ngắn hạn này gây áp lực lớn, buộc nạn nhân phải ra quyết định trong điều kiện căng thẳng và không chắc chắn. Đây là kỹ thuật quen thuộc từng được Conti, LockBit và BlackCat sử dụng để thao túng tâm lý các bộ phận IT không chuyên sâu trong tình huống khẩn cấp, nhằm nhanh chóng ép họ thực hiện thanh toán trước khi có thể tiếp cận đội phản ứng sự cố chuyên nghiệp.Không dừng lại ở đó, Gunra còn triển khai mã hóa có kiểm soát để tối ưu khả năng chuộc tiền. Nếu phát hiện ổ đĩa hệ thống là ổ C, ransomware chỉ hoạt động trong thư mục C:\Users. Chiến thuật này giữ cho hệ điều hành vẫn có thể khởi động và vận hành bình thường, qua đó đảm bảo nạn nhân vẫn có thể đọc được thông báo đòi tiền và thực hiện liên lạc với kẻ tấn công.
Cảnh báo và biện pháp phòng thủ
Gunra cho thấy xu hướng mới trong hoạt động ransomware-as-a-service (RaaS) và sự bùng nổ của các Dedicated Leak Sites trong nửa đầu 2025. Các tổ chức được khuyến cáo:- Duy trì sao lưu định kỳ, phân tách vật lý hoặc địa lý
- Giới hạn quyền truy cập vào hệ thống sao lưu
- Diễn tập phục hồi dữ liệu thường xuyên
- Cập nhật hệ thống bảo mật và endpoint
- Duy trì vệ sinh an ninh trong email và mạng nội bộ
MD5 Hash | Mô tả |
0339269cef32f7af77ce9700ce7bf2e2 | Mẫu Gunra |
3178501218c7edaef82b73ae83cb4d91 | Mẫu Gunra |
7dd26568049fac1b87f676ecfaac9ba0 | Mẫu Gunra |
| 92e11df03725e29d963d44508d41a8dd | Mẫu Gunra |
| 9a7c0adedc4c68760e49274700218507 | Mẫu Gunra |
Gunra không chỉ là một biến thể ransomware. Nó đại diện cho xu thế tấn công mới, nơi mã độc vừa tăng tốc mã hóa vừa phá hủy mọi cơ hội khôi phục. Trong bối cảnh đó, năng lực phòng thủ thôi là chưa đủ, việc phục hồi dữ liệu và duy trì hoạt động sau tấn công phải trở thành năng lực bắt buộc trong mọi kế hoạch ứng phó.
Theo Cyber Press