2025年出現(xiàn)了一種新型勒索軟件即服務(wù)（RaaS，Ransomware-as-a-Service）威脅——它不僅會加密你的數(shù)據(jù)，還會徹底銷毀數(shù)據(jù)。這款名為"阿努比斯"的勒索軟件將傳統(tǒng)文件加密與惡意功能相結(jié)合：其擦除模式會永久破壞文件，即使受害者支付贖金也無法恢復(fù)數(shù)據(jù)。

勒索信 | 圖片來源：趨勢科技

趨勢科技在最新威脅情報(bào)報(bào)告中警告："阿努比斯是一種新興的勒索軟件即服務(wù)（RaaS）操作，同時具備文件加密和文件銷毀能力——這種雙重威脅特性相當(dāng)罕見。"

惡意軟件演化歷程

阿努比斯最早出現(xiàn)于2024年12月，同期在X平臺（原Twitter）以及RAMP、XSS等地下論壇悄然現(xiàn)身。這款最初代號為"斯芬克斯"的原型程序，現(xiàn)已發(fā)展成具備完整品牌標(biāo)識、數(shù)據(jù)泄露網(wǎng)站和靈活聯(lián)盟模式的成熟勒索活動。

報(bào)告指出："該勒索軟件具有'擦除模式'，可永久刪除文件，即使支付贖金也無法恢復(fù)數(shù)據(jù)。"

破壞性架構(gòu)設(shè)計(jì)

阿努比斯的架構(gòu)專為破壞而設(shè)計(jì)，為攻擊聯(lián)盟提供細(xì)粒度控制，支持以下命令行參數(shù)：

• /KEY= 設(shè)置加密密鑰
• /elevated 執(zhí)行權(quán)限提升
• /WIPEMODE 激活破壞性擦除
• /PATH= 和 /PFAD= 精確指定目標(biāo)文件或排除項(xiàng)

入侵系統(tǒng)后，阿努比斯會嘗試提升權(quán)限，并通過探測物理驅(qū)動器檢查管理權(quán)限："該程序通過嘗試訪問系統(tǒng)主物理驅(qū)動器，來檢測當(dāng)前用戶是否具有管理員權(quán)限。"趨勢科技解釋道。

加密與破壞機(jī)制

獲得權(quán)限后，惡意軟件使用橢圓曲線集成加密方案（ECIES，Elliptic Curve Integrated Encryption Scheme）加密數(shù)據(jù)——該算法也見于EvilByte和Prince勒索變種。加密文件會被添加.anubis擴(kuò)展名，系統(tǒng)圖標(biāo)會被替換為攻擊者標(biāo)識。它甚至嘗試使用名為wall.jpg的文件更改用戶桌面壁紙——這種勒索軟件品牌化操作相當(dāng)罕見。

報(bào)告指出："它會修改加密文件的圖標(biāo)，替換為自己的標(biāo)志。"

致命數(shù)據(jù)擦除功能

阿努比斯最危險(xiǎn)的功能是文件擦除器。當(dāng)觸發(fā)/WIPEMODE參數(shù)時，勒索軟件不僅加密文件——還會將文件大小歸零，不可逆地清除內(nèi)容。趨勢科技警告："文件仍會顯示在目錄中，但其大小變?yōu)? KB，表明內(nèi)容已被完全擦除。"

這給受害者帶來巨大壓力，尤其當(dāng)阿努比斯同時實(shí)施雙重勒索時——威脅若不滿足要求就泄露被盜數(shù)據(jù)。

完整攻擊鏈分析

攻擊鏈包含多階段流程：

• 初始訪問（T1566）：攜帶惡意附件或鏈接的魚叉式釣魚郵件
• 執(zhí)行（T1059）：通過命令行觸發(fā)含惡意參數(shù)的腳本
• 權(quán)限提升（T1134.002）：利用訪問令牌嘗試系統(tǒng)級提權(quán)
• 防御規(guī)避（T1078）：利用有效賬戶并以提升權(quán)限重新啟動
• 發(fā)現(xiàn)（T1083）：掃描目標(biāo)目錄同時避開Windows系統(tǒng)文件夾
• 影響階段：加密數(shù)據(jù)（T1486）、刪除卷影副本（T1490）、終止服務(wù)（T1489），若啟用則不可逆擦除數(shù)據(jù)（T1485）

成熟的犯罪商業(yè)模式

阿努比斯不僅是惡意軟件——更是成熟的犯罪業(yè)務(wù)。該組織以supersonic和Anubis__media等別名在地下論壇活躍，提供：

• 可協(xié)商的聯(lián)盟收入分成
• 訪問變現(xiàn)計(jì)劃
• 數(shù)據(jù)勒索模型
• 定制化贖金配置

分析證實(shí)："他們提出的所有收入分成結(jié)構(gòu)都支持長期合作談判。"該組織已公布澳大利亞、加拿大、秘魯和美國受害者名單，波及醫(yī)療、建筑和工程等行業(yè)——顯示出明顯的機(jī)會主義攻擊特征。