出现极其危险的勒索软件，即使受害者支付了赎金，数据也会被清除

随着网络攻击的复杂性和影响不断增加，一种具有前所未有的数据破坏能力的新型勒索软件被发现，引起了网络安全专家的担忧。

这款勒索软件被称为 Anubis，它拥有一种特殊的“删除模式”，不仅可以加密文件，还可以永久删除文件内容，即使受害者支付赎金也无法恢复。

根据安全公司趋势科技的研究人员 Maristel Policarpio、Sarah Pearl Camiling 和 Sophia Nilette Robles 发布的新报告，Anubis 是日益壮大的勒索软件即服务 (RaaS) 模式的一部分。

第一次 Anubis 攻击活动发生在 2024 年 12 月，目标是澳大利亚、加拿大、秘鲁和美国等国家的医疗保健、酒店和建筑等关键行业。

最初，该勒索软件的代号为 Sphinx，但后来改为 Anubis，以埃及一位与死亡和来世有关的神命名，这在一定程度上反映了攻击后“不恢复”受害者数据的意图。

值得注意的是，Anubis 勒索软件与同名的 Android 银行木马或基于 Python 的后门没有任何关联，后者被认为是 FIN7 黑客组织（也称为 GrayAlpha）所为。

这有助于将 Anubis 与其他攻击活动区分开来，同时也表明当今恶意软件生态系统日益复杂。

Anubis 如此危险的原因之一在于其复杂且有组织的运营模式。据趋势科技称，Anubis 开发团队运营着一个开放的联盟计划，合作伙伴可以加入并以特定比例分享利润。

具体来说，如果受害者支付赎金，其附属组织成员将获得高达 80% 的分成，这比典型的勒索软件组织更具吸引力。此外，该组织还提供其他盈利方式，例如出售受害者系统访问权限（五五分成）或单独勒索数据（四六分成）。

这种模式使得Anubis迅速扩大了其网络和影响力，吸引了许多小型网络犯罪集团的加入，类似于科技行业的软件即服务（SaaS）平台的运作方式。

攻击过程和数据破坏能力

Anubis 的攻击链始于钓鱼邮件，这是一种常见却极其有效的攻击手法。当受害者不小心打开附件或点击恶意链接时，恶意软件就会被下载并安装到系统中。

然后，Anubis 执行经典的攻击步骤，例如提升访问权限、扫描系统、删除备份，最后加密重要文件。

然而，尤其危险的是，攻击者能够擦除文件的全部内容，将文件大小缩减至 0 KB，同时保留其原始名称和格式。这不仅能欺骗数据恢复工具，还能让受害者在意识到损失程度时为时已晚。

研究人员表示：“该勒索软件支持 /WIPEMODE 参数，允许永久删除文件内容，即使使用专业工具也无法恢复。”

Anubis 的数据破坏性质不仅仅是破坏性的，也是一种心理战术，旨在向受害者施加压力，迫使他们尽快支付赎金。

趋势科技表示：“永久数据删除功能严重增加了迫使受害者满足赎金要求的风险和压力，这是一种精心设计的消除抵抗的策略。”

Anubis的出现标志着勒索软件世界向前迈出了危险的一步，网络犯罪分子不仅仅停留在加密数据，还可以永久删除数据，造成不可估量的损失。

因此，提高安全意识、定期更新软件、定期备份数据是任何个人或组织都不能掉以轻心的事情。