У вас Windows? Gunra уже шифрует всё в C:/Users — и вы даже не заметите
NewsMakerGunra научилась у Conti главному — как довести жертву до отчаяния за 5 дней.
В первой половине 2025 года на киберпреступной сцене появилось новое вымогательское ПО под названием Gunra , которое за короткое время привлекло внимание специалистов своими агрессивными тактиками и техниками, унаследованными от одного из самых известных киберпреступных проектов — Conti .
ИБ-специалисты из AhnLab Security (ASEC) впервые зафиксировали активность Gunra 10 апреля, и с тех пор группировка начала продвигать собственную платформу для публикации слитых данных, так называемый Dedicated Leak Site (DLS).
Истоки Gunra очевидно восходят к Conti — кибергруппировке, действовавшей с 2020 года и фактически прекратившей деятельность после громкого внутреннего конфликта , вызванного утечкой исходного кода и внутренних документов в феврале 2022 года. Этот конфликт возник на фоне политических разногласий между участниками проекта и стал поводом для появления множества новых форков, среди которых Gunra стоит особняком за счёт своей специфики.
Gunra не просто заимствовал подходы Conti, но и усовершенствовал их. В частности, злоумышленники внедрили принципиально более жёсткий временной лимит: всего пять дней даётся жертве на то, чтобы вступить в переговоры. Такая сжатая рамка создаёт дополнительное психологическое давление и ускоряет процесс вымогательства. Помимо этого, в арсенале Gunra — детально выверенная социальная инженерия и ускоренные сценарии взаимодействия с пострадавшими.
Технически программа ориентирована исключительно на Windows-системы. Во время запуска она создаёт несколько потоков — по числу логических ядер процессора, — что позволяет параллельно шифровать файлы с высокой скоростью. Внутри вредоноса встроен публичный RSA-ключ, от которого генерируются индивидуальные пары, далее используется ChaCha20 как симметричный алгоритм шифрования. Расширение зашифрованных файлов — «.ENCRT».
Несмотря на агрессию, шифровальщик избегает блокировки системных директорий и критических для загрузки компонентов: исключаются каталоги Windows, Boot и $Recycle.Bin, а также файлы с расширениями .exe, .dll, .sys. Исключение составляют два файла — «R3ADM3.txt» и «CONTI_LOG.txt», оставленные специально, вероятно, как отсылка к наследию Conti.
Gunra ограничивает своё воздействие только директорией C:/Users в случае, если заражение происходит на системном диске. Такой подход максимизирует урон по пользовательским данным, не нарушая при этом работоспособность ОС, что делает угрозу менее заметной на первом этапе. После завершения шифрования программа запускает удаление теневых копий томов. Кроме того, удаляются все точки восстановления, что лишает пострадавшего возможности отката.
Во всех зашифрованных директориях размещается текстовый файл с требованием выкупа и инструкциями по выходу на связь с группой через указанный ресурс. Подобно другим современным вымогателям , Gunra опирается на инфраструктуру DLS как на основную точку давления: если переговоры не начинаются в срок, преступники переходят к публикации украденной информации.
ИБ-эксперты подчёркивают: распространение таких угроз требует от организаций и частных пользователей более продуманной стратегии защиты. В первую очередь — это регулярное обновление систем, автоматизация установки критических заплат, отказ от использования уязвимых версий программ и отключение лишних сервисов. Антивирусные решения должны быть не только установлены, но и актуализированы. Дополнительным слоем служит резервное копирование на внешние или изолированные хранилища с контрольным восстановлением.
Помимо технических мер важна и цифровая гигиена : отказ от открытия вложений из сомнительных писем, использование сложных паролей и обязательная двухфакторная аутентификация. Только комплексная многоуровневая защита способна сдержать угрозы, подобные Gunra, которые не просто шифруют, но и уничтожают средства восстановления.
В первой половине 2025 года на киберпреступной сцене появилось новое вымогательское ПО под названием Gunra , которое за короткое время привлекло внимание специалистов своими агрессивными тактиками и техниками, унаследованными от одного из самых известных киберпреступных проектов — Conti .
ИБ-специалисты из AhnLab Security (ASEC) впервые зафиксировали активность Gunra 10 апреля, и с тех пор группировка начала продвигать собственную платформу для публикации слитых данных, так называемый Dedicated Leak Site (DLS).
Истоки Gunra очевидно восходят к Conti — кибергруппировке, действовавшей с 2020 года и фактически прекратившей деятельность после громкого внутреннего конфликта , вызванного утечкой исходного кода и внутренних документов в феврале 2022 года. Этот конфликт возник на фоне политических разногласий между участниками проекта и стал поводом для появления множества новых форков, среди которых Gunra стоит особняком за счёт своей специфики.
Gunra не просто заимствовал подходы Conti, но и усовершенствовал их. В частности, злоумышленники внедрили принципиально более жёсткий временной лимит: всего пять дней даётся жертве на то, чтобы вступить в переговоры. Такая сжатая рамка создаёт дополнительное психологическое давление и ускоряет процесс вымогательства. Помимо этого, в арсенале Gunra — детально выверенная социальная инженерия и ускоренные сценарии взаимодействия с пострадавшими.
Технически программа ориентирована исключительно на Windows-системы. Во время запуска она создаёт несколько потоков — по числу логических ядер процессора, — что позволяет параллельно шифровать файлы с высокой скоростью. Внутри вредоноса встроен публичный RSA-ключ, от которого генерируются индивидуальные пары, далее используется ChaCha20 как симметричный алгоритм шифрования. Расширение зашифрованных файлов — «.ENCRT».
Несмотря на агрессию, шифровальщик избегает блокировки системных директорий и критических для загрузки компонентов: исключаются каталоги Windows, Boot и $Recycle.Bin, а также файлы с расширениями .exe, .dll, .sys. Исключение составляют два файла — «R3ADM3.txt» и «CONTI_LOG.txt», оставленные специально, вероятно, как отсылка к наследию Conti.
Gunra ограничивает своё воздействие только директорией C:/Users в случае, если заражение происходит на системном диске. Такой подход максимизирует урон по пользовательским данным, не нарушая при этом работоспособность ОС, что делает угрозу менее заметной на первом этапе. После завершения шифрования программа запускает удаление теневых копий томов. Кроме того, удаляются все точки восстановления, что лишает пострадавшего возможности отката.
Во всех зашифрованных директориях размещается текстовый файл с требованием выкупа и инструкциями по выходу на связь с группой через указанный ресурс. Подобно другим современным вымогателям , Gunra опирается на инфраструктуру DLS как на основную точку давления: если переговоры не начинаются в срок, преступники переходят к публикации украденной информации.
ИБ-эксперты подчёркивают: распространение таких угроз требует от организаций и частных пользователей более продуманной стратегии защиты. В первую очередь — это регулярное обновление систем, автоматизация установки критических заплат, отказ от использования уязвимых версий программ и отключение лишних сервисов. Антивирусные решения должны быть не только установлены, но и актуализированы. Дополнительным слоем служит резервное копирование на внешние или изолированные хранилища с контрольным восстановлением.
Помимо технических мер важна и цифровая гигиена : отказ от открытия вложений из сомнительных писем, использование сложных паролей и обязательная двухфакторная аутентификация. Только комплексная многоуровневая защита способна сдержать угрозы, подобные Gunra, которые не просто шифруют, но и уничтожают средства восстановления.