16/06/25
Такая функция лишает жертву возможности восстановить данные даже после оплаты выкупа — содержимое обнуляется, структура каталогов сохраняется, но сами файлы превращаются в пустые оболочки.
Anubis — относительно новая группировка на рынке Ransomware-as-a-Service (RaaS), не связанная с одноимённым Android-вредоносом, пишет Securitylab. Впервые она была замечена в декабре 2024 года, однако настоящая активность началась в начале 2025-го. 23 февраля на подпольном форуме RAMP злоумышленники объявили о запуске партнёрской программы , предложив коллегам по черному рынку долю с выручки: 80% — для тех, кто напрямую распространяет шифровальщик, 60% — для участников, специализирующихся на шантаже, и 50% — для поставщиков первоначального доступа.
На сегодняшний день в даркнете размещена страница вымогателей с данными только восьми жертв. Судя по всему, группа использует текущий этап как техническую обкатку перед масштабным распространением — и как раз к этому моменту она дорабатывает функционал вредоносного ПО.
Исследование Trend Micro подтвердило наличие у Anubis новой функции, выходящей за рамки обычного шифрования. В последних образцах был обнаружен специальный режим стирания файлов, включаемый через командную строку. Для его активации используется параметр /WIPEMODE, причём для запуска требуется аутентификация по ключу — функция не запускается автоматически и требует целенаправленного управления от атакующего.
При включении режима уничтожения шифровальщик затирает содержимое всех обнаруженных файлов, сводя их размер к нулю. Названия остаются прежними, как и иерархия директорий, но внутри — пустота. Визуально жертва по-прежнему видит файлы в своих папках, однако вернуть информацию невозможно ни с помощью расшифровки, ни через сторонние утилиты. Это делает атаку необратимой, даже если выкуп был выплачен.
Аналитики считают, что эта функция — это инструмент давления: если раньше пострадавшие могли тянуть с решением или игнорировать требования, то теперь затягивание переговоров грозит полной потерей данных. По сути, Anubis превращает угрозу из потенциальной в реальную — и это добавляет весу в торге.
Вредонос также поддерживает несколько других параметров, передаваемых при запуске. Среди них — команды на повышение привилегий, выбор целевых путей и указание директорий, которые следует исключить. Системные и программные каталоги, как правило, добавлены в список исключений по умолчанию — чтобы операционная система оставалась работоспособной.
Anubis также удаляет теневые копии томов (Volume Shadow Copies), завершает процессы и останавливает службы, способные помешать шифрованию. Эти шаги помогают избежать автоматического восстановления данных с помощью встроенных механизмов Windows.
Сама программа построена на базе ECIES — криптографической схемы, использующей эллиптические кривые. Анализ показал, что архитектура Anubis во многом схожа с ранее зафиксированными вымогателями EvilByte и Prince, что может указывать либо на заимствование кода, либо на то, что участники те же или по крайней мере сотрудничают между собой.
После завершения атаки файлы получают расширение .anubis. В каждую папку, затронутую вредоносом, добавляется HTML-файл с требованием выкупа. Вредонос также пытается заменить обои рабочего стола на устройство, чтобы привлечь внимание жертвы, однако в текущей реализации эта функция, по всей видимости, ещё нестабильна и в большинстве случаев не срабатывает.
Атаки Anubis, как правило, начинаются с фишинговых писем , содержащих вредоносные вложения или ссылки. После перехода или запуска файла начинается развёртывание основного модуля, который загружает полезную нагрузку и активирует компоненты шифрования и удаления данных.
В Trend Micro отметили, что список признаков заражения (IoC), связанных с Anubis, уже опубликован. Он включает сигнатуры, хэши, домены и сетевые артефакты, по которым можно идентифицировать активность группировки в инфраструктуре.
