신규 랜섬웨어 DLS 수집 현황으로 본 Gunra 랜섬웨어의 위협적 등장

AhnLab TIP는 포럼(Forum)이나 마켓플레이스(Marketplace) 등에서 랜섬웨어 그룹의 활동을 세부적으로 모니터링 및 추적한다. 사용자는 AhnLab TIP의 ‘Dark Web Watch’ 페이지에서 최근 가장 활발하게 활동 중인 랜섬웨어 그룹 정보와 이들의 협력 관계/공격 계획/공격기법 등에 대해서도 확인할 수 있으며, 이를 통해 내부의 위협을 능동적으로 파악한다는 관점에서도 해당 정보들을 활용할 수 있다. 즉, 공격 대상이나 목표 등을 예측해 대비 태세를 갖추고 피해를 예방함으로써 위협에 선제적으로 대응할 수 있는 것이다.

 

[그림 1] AhnLab TIP – Dark Web Watch

 

2025년 상반기 동안 여러 랜섬웨어 갱단들이 새로운 DLS(Dedicated Leak Sites)를 개설하며 활발한 활동을 이어가고 있다. 아래는 2025년 2월부터 6월까지 자사에서 신규로 수집한 랜섬웨어 DLS 추가 현황을 시각화한 그래프이다. 이 중에서도 특히 주목할만한 신규 그룹은 Gunra 랜섬웨어다. 2025년 4월에는 Gunra 랜섬웨어의 DLS 정보가 새롭게 확인되었으며, 자사는 이를 기반으로 해당 그룹의 활동을 분석하였다.

 

[그림 2] 2025년 2~6월, 신규 수집된 랜섬웨어 DLS 현황

 

Gunra의 초기 활동은 2025년 4월 10일에 확인되었으며, 특히 Conti 랜섬웨어와 코드 유사성을 보이는 것이 확인되었다. Conti 랜섬웨어는 2020년부터 활발히 활동한 러시아어 기반의 랜섬웨어 조직으로, 가장 악명 높은 랜섬웨어 중 하나로 불린다. 2022년 2월, Conti 랜섬웨어 조직이 러시아 정부에 대한 지지성명을 발표한 직후, 조직 내부의 우크라이나 출신 연구원이 이에 반발하여 내부 문서와 소스코드를 유출하였다. Conti 소스코드가 유출된 이후 Black Basta, Royal과 같은 다양한 그룹들이 이를 활용하여 변종 랜섬웨어를 제작했는데, Gunra 랜섬웨어도 Conti 소스코드를 부분적으로 재활용하면서도 신속한 협상 프로세스와 사회공학적 압박 수단을 강화한 그룹으로 평가되고 있다. 특히, 5일 이내 협상 시작을 강제하는 시간적 압박 전략이 기존 랜섬웨어와 차별화된 위협 요소로 작용하고 있다.

이러한 배경을 바탕으로, 본 블로그에서는 Gunra 랜섬웨어의 실행 흐름을 기술한다.

 

 

[분석 정보]

Gunra 랜섬웨어는 파일을 암호화하기 위해 암호화 루틴을 가진 스레드를 생성하는데 이때, 사용자의 CPU의 논리 코어 수를 확인하여 스레드를 생성한다.

[그림 3] 스레드 생성

 

생성된 스레드에서는 파일 내부에 존재하는 RSA 공개키를 사용하여 RSA 키를 생성한다. 생성된 RSA 키는 ChaCha8 키를 만드는데 사용되며, 최종적으로 만들어진 ChaCha8 키는 [그림 6], [그림 7]과 같이 파일 암호화 루틴에서 사용된다.

[그림 4] RSA 키 생성

[그림 5] 파일 내부에 존재하는 공개키

[그림 6] ChaCha8 키 생성

[그림 7] 파일 암호화 루틴 중 일부

[그림 8] ChaCha8 암호화 루틴 중 일부

 

 

파일 암호화 로직이 모두 수행되고 나면, cmd 명령어를 사용하여 감염 PC의 볼륨섀도우 복사본을 삭제한다.

• cmd.exe /c C:\Windows\System32\wbem\WMIC.exe shadowcopy where “ID={shadowcopy의 GUID}” delete

[그림 9] 볼륨섀도우 복사본 삭제

 

Gunra 랜섬웨어는 [그림 9]와 같이 암호화된 폴더 내부에 “R3ADM3.txt”라는 파일명으로 랜섬노트를 생성하며, 전형적인 랜섬웨어들 처럼 파일이 암호화되었으니 복호화를 하고 싶다면 랜섬웨어 공격자의 사이트에 접속하여 돈을 지불하라는 내용이다.

[그림 10] 랜섬노트

암호화 확장자	.ENCRT
감염 예외 폴더	tmp, winnt, temp, thumb, $Recycle.Bin, $RECYCLE.BIN, System Volume Information, Boot, Windows, Trend Micro
감염 예외 확장자	.exe, .dll, .lnk, .sys, .msi, .ENCRT
감염 예외 파일	R3ADM3.txt, CONTI_LOG.txt
랜섬노트	R3ADM3.txt
특이 사항	감염하려는 드라이브가 C:\ 일 경우 C:\Users 폴더만 감염

[표 1] Gunra 랜섬웨어 특징

 

 

신규로 수집되는 랜섬웨어 DLS 수량이 지속적으로 증가하고 있어, 기업과 개인 모두에게 심각한 보안 위협이 되고 있다. 이에 따라 주요 자산을 보호하고 안정적으로 운용하기 위해 다음과 같은 보안 수칙을 철저히 준수할 것을 당부한다. 

 

• 운영체제 및 소프트웨어의 최신 보안 업데이트 적용. 자동 업데이트 적용
• 보안 소프트웨어 설치 및 사용. 최신 업데이트 유지
• 정기적으로 백업을 수행하고 해당 백업을 오프라인 또는 별도의 네트워크에 보관
• 신뢰할 수 없는 출처의 웹사이트나 이메일의 링크 또는 첨부 파일 열람 및 실행 주의
• 유추하기 어려운 패스워드 사용 및 2FA 인증 사용

 

사용자는 랜섬웨어에 대비해 중요 데이터를 서비스망과 분리된 오프사이트에 백업하고, 백업 저장소에 대한 접근 통제 및 정기적인 복구 훈련을 수행해야 한다. 단순한 백업을 넘어, 백업 시스템 자체의 보안성과 복구 가능성을 확보하는 전략적 대응이 필수적이다.

 

AhnLab 제품에서 Gunra 랜섬웨어에 대해 다음과 같이 탐지하고 있다.

 

[V3]

◦ Ransomware/Win.Gunra.C5761824
◦ Ransomware/Win.Gunra.C5755872

[EDR]
◦ SystemManipulation/EDR.Event.M2506 
◦ Ransom/EDR.Decoy.M2470
◦ Malware/MDP.Ransom.M1876

MD5

0339269cef32f7af77ce9700ce7bf2e2

3178501218c7edaef82b73ae83cb4d91

7dd26568049fac1b87f676ecfaac9ba0

92e11df03725e29d963d44508d41a8dd

9a7c0adedc4c68760e49274700218507