Anubis的勒索軟件即服務（RaaS）業務在其文件加密惡意軟件中添加了一個擦除器模塊，可以摧毀目標文件，即使支付贖金也無法恢復。

Anubis（不要與同名的Android惡意軟件混淆，該惡意軟件有一個勒索軟件模塊）是一個相對新的RaaS，于2024年12月首次被觀察到，但在年初變得更加活躍。

2月23日，運營商在RAMP論壇上宣布了一項聯盟計劃。KELA當時的一份報告解釋說，Anubis向勒索軟件附屬公司提供了80%的收益分成。數據勒索附屬公司獲得了60%的分成，初始訪問經紀人獲得了50%的分成。

目前，Anubis在暗網上的勒索頁面只列出了8名受害者，這表明一旦對技術方面的信心增強，它可能會增加攻擊量。

在這方面，Trend Micro最近發布的一份報告顯示，Anubis的運營商正在積極開發新功能，其中一個不尋常的功能是文件清除功能。

研究人員在他們解剖的最新Anubis樣本中發現了這個功能，并認為該功能的引入是為了增加受害者盡快付款的壓力，而不是拖延談判或完全無視。

Anubis與其他RaaS的區別在于，它使用了文件擦除功能，即使在加密后也會破壞恢復工作。這種破壞性傾向增加了受害者的壓力，并增加了本已具有破壞性的襲擊的風險。

使用命令行參數‘ /WIPEMODE ’激活破壞性行為，這需要發出基于密鑰的身份驗證。

Anubis的擦拭模式

激活后，擦除器擦除所有文件內容，將其大小減小到0 KB，同時保持文件名和結構完整。受害者仍然會看到預期目錄中的所有文件，但其內容將被不可逆轉地破壞，使恢復成為不可能。

加密前（上）和加密后（下）的文件

趨勢科技的分析顯示，Anubis在啟動時支持幾個命令，包括特權提升、目錄排除和加密的目標路徑。默認情況下排除重要的系統和程序目錄，以避免使系統完全不可用。勒索軟件刪除卷影副本，并終止可能干擾加密過程的進程和服務。

加密系統使用ECIES（橢圓曲線集成加密方案），研究人員指出實現與EvilByte和Prince勒索軟件相似。加密的文件被附加在'.anubis的擴展，HTML勒索通知被放置在受影響的目錄，惡意軟件還執行嘗試（失敗）更改桌面壁紙。

Anubis 的勒索信

網絡安全公司觀察到，Anubis攻擊始于帶有惡意鏈接或附件的網絡釣魚電子郵件。

參考及來源：https://www.bleepingcomputer.com/news/security/anubis-ransomware-adds-wiper-to-destroy-files-beyond-recovery/