Anubis 勒索软件加密并擦除文件，即使付款也无法恢复

人们发现了一种新兴的勒索软件，它具有加密文件和永久删除文件的功能，这种发展被描述为“罕见的双重威胁”。

趋势科技研究人员 Maristel Policarpio、Sarah Pearl Camiling 和 Sophia Nilette Robles在上周发布的一份报告中表示： “勒索软件具有‘擦除模式’，可以永久删除文件，即使支付赎金也无法恢复。”

有问题的勒索软件即服务 (RaaS) 操作名为 Anubis，于 2024 年 12 月开始活跃，受害者遍布澳大利亚、加拿大、秘鲁和美国的医疗保健、酒店和建筑行业。对勒索软件早期试用样本的分析表明，开发人员最初将其命名为 Sphinx，然后在最终版本中调整了品牌名称。

值得注意的是，该电子犯罪团伙与Android 银行木马和同名的基于 Python 的后门没有任何关系，后者归因于以经济为目的的 FIN7（又名 GrayAlpha）组织。

该网络安全公司表示：“Anubis 运行着一个灵活的联盟计划，提供可协商的收入分成，并支持数据勒索和访问销售等额外的货币化途径。”

联盟计划采用 80-20 的分成比例，允许联盟参与者获取已支付赎金的 80%。另一方面，数据勒索和访问货币化计划则分别提供 60-40 和 50-50 的分成。

Anubis 发起的攻击链涉及使用网络钓鱼电子邮件作为初始访问媒介，威胁行为者利用立足点提升权限、进行侦察并采取措施删除卷影副本，然后加密文件并在必要时擦除其内容。

这意味着文件大小减小到 0 KB，而文件名或其扩展名保持不变，使得恢复变得不可能，因此对受害者施加了更大的付款压力。

研究人员表示：“该勒索软件包含使用 /WIPEMODE 参数的擦除功能，可以永久删除文件内容，阻止任何恢复尝试。”

“它既能加密数据，又能永久销毁数据，这大大增加了受害者的风险，加大了他们遵守规定的压力——就像强大的勒索软件操作所追求的那样。”

在发现 Anubis 的破坏行为之际，Recorded Future 详细介绍了与 FIN7 集团相关的新基础设施，该基础设施被用于冒充合法软件产品和服务，作为旨在传播 NetSupport RAT 的活动的一部分。

万事达卡旗下的威胁情报公司表示，在过去一年中，它发现了三个独特的分发媒介，这些媒介使用虚假的浏览器更新页面、虚假的 7-Zip 下载网站和TAG-124（又名 404 TDS、Chaya_002、Kongtuke 和 LandUpdate808）来传播恶意软件。

虽然伪造的浏览器更新方法会加载一个名为 MaskBat 的自定义加载程序来执行远程访问木马，但其余两个感染媒介会使用另一个名为 PowerNet 的自定义 PowerShell 加载程序来解压缩并执行该木马。

Recorded Future 的 Insikt Group表示：“[MaskBat] 与FakeBat有相似之处，但经过了混淆，并包含与 GrayAlpha 相关的字符串。虽然观察到三种感染媒介同时使用，但在撰写本文时，只有伪造的 7-Zip 下载页面仍然活跃，最近在 2025 年 4 月才出现了新注册的域名。”