국내 보안 기업 지니언스는 윈도우와 리눅스 운영체제를 모두 겨냥한 신종 랜섬웨어 '건라(Gunra)'의 활동을 최근 확인했다고 25일 밝혔다. 건라는 지난 4월 처음으로 활동이 포착된 이후 점차 공격 범위를 넓혀가고 있다.
지니언스 측 분석에 따르면, 건라는 과거 러시아 해커 조직이 만들었던 '콘티(Conti)' 랜섬웨어의 유출 코드를 일부 재활용한 것으로 보인다. 콘티는 2022년 내부 소스코드가 외부에 공개된 이후, 이를 기반으로 한 여러 변종 랜섬웨어가 등장하는 계기가 된 바 있다.
건라(Gunra)는 파일을 암호화할 때 먼저 '차차20(ChaCha20)' 알고리즘으로 데이터를 잠그고, 이때 사용된 대칭키를 RSA-2048 공개키로 한 번 더 암호화하는 이중 암호화 구조를 갖고 있다. 이 구조는 공격자 외에는 복호화 키를 알 수 없어, 피해자가 자체적으로 파일을 복구하기 매우 어렵다.
지니언스는 건라의 윈도우 버전이 시스템 복원 기능인 볼륨 섀도우 복사본을 삭제하고, 사용자 파일 확장자를 일괄 변경하며, 각 폴더에 랜섬노트(R3adm3.txt)를 생성하는 방식으로 작동한다고 설명했다. 리눅스 버전은 명령어 인자를 통해 암호화 대상 폴더, 파일 확장자, 암호화 비율 등을 조정할 수 있는 유연한 구조로 구현돼 있다.