關鍵詞

勒索軟件

近日，網絡安全公司趨勢科技發布報告，揭示新興勒索軟件即服務（RaaS）平臺“Anubis”的危險特性。該勒索軟件在常規文件加密之外，還引入了“遠程擦除”模塊，可以將受害者的文件內容徹底清空，使其變為 0KB 的空文件，嚴重破壞數據完整性，即使支付贖金也可能無法恢復。

Anubis 勒索軟件自 2024 年 12 月開始活躍，初期以“Sphinx”為名運營。其名稱雖與安卓平臺的銀行木馬“Anubis”相同，但兩者并無關聯。安卓版本的 Anubis 主要用于竊取銀行賬戶信息，而本次報告中的 Anubis 則是針對桌面和企業系統的勒索工具。

趨勢科技的研究顯示，Anubis 勒索軟件的受害者已分布于澳大利亞、加拿大、秘魯和美國，涵蓋醫療、酒店和建筑行業。由于其采用 RaaS 模式，攻擊執行者不需要技術背景，只需加入聯盟即可獲得勒索工具使用權。典型分成模式為“上游開發者獲得 20%～50% 贖金，下游執行者保留其余份額”，以此吸引大批初級黑客參與傳播。

攻擊鏈起始于網絡釣魚郵件，郵件中的惡意鏈接或附件一旦被點擊，就可能觸發遠程代碼執行漏洞，使攻擊者得以滲透受害企業內網。一旦入侵成功，Anubis 會自動掃描、加密所有可訪問的文件，并在特定場景下觸發“文件擦除”功能。

研究人員指出，Anubis 的擦除模式通過命令行參數“/WIPEMODE”激活，執行時會保留文件名和文件路徑，但清空文件內容，導致其在系統中顯示為大小為 0KB 的空殼文件。由于數據內容已被覆蓋且未生成備份副本，這種擦除方式幾乎無法通過常規手段恢復數據。

Anubis 在加密階段使用 ECIES（橢圓曲線集成加密方案），其加密實現方式與已知的 EvilByte 和 Prince 勒索軟件具有相似性。被加密的文件統一追加“.anubis”擴展名，并在每個受影響目錄中投放一份 HTML 格式的勒索說明。

為了確保加密過程順利完成，Anubis 會主動刪除系統的卷影副本（Volume Shadow Copy），并終止可能干擾加密流程的關鍵系統進程與服務。它還具備特定的目錄排除功能，避免因系統癱瘓而影響攻擊成效。

盡管目前尚無確切案例證明支付贖金后數據仍無法恢復，但趨勢科技警告稱，由于擦除功能的存在，受害組織即便付款，也存在無法找回數據的極高風險。因此，企業應嚴格執行定期數據備份，并將備份服務器與主業務系統隔離，防止攻擊鏈條影響備份副本。

Anubis 的“先加密再擦除”策略表明勒索軟件正在向更具毀滅性、不可逆的方向演化，也預示著未來勒索攻擊的談判空間將進一步縮小。安全團隊必須提升應急響應能力，關注新興勒索工具的發展動態，防患于未然。

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！