Анубис: Новое Рэнсомваре с Функцией Безвозвратного Уничтожения Данных Угрожает Глобальным Организациям

Атакующие действуют по модели двойного шантажа - угрожая как публикацией украденной информации, так и полным стиранием критически важных файлов через параметр /WIPEMODE. Техническая сложность Anubis, эволюционировавшего из прототипа Sphinx, позволяет ему обходить традиционные системы защиты, маскируясь под легитимные процессы и динамически корректируя поведение в зависимости от уровня привилегий жертвы.

Инициализация атаки происходит через фишинговые письма с вредоносными вложениями, где тщательно сфабрикованные документы имитируют доверенные источники. После запуска Anubis анализирует окружение через сложную систему проверок, включая скрытую верификацию административных прав через попытку доступа к физическому диску \\.\PHYSICALDRIVE0. Этот метод, в отличие от стандартных API-вызовов, не генерирует подозрительных событий в журналах безопасности. При обнаружении прав администратора вредонос создает процессы с эскалированными токенами доступа, используя нативные функции Windows типа CreateProcessWithTokenW. Если привилегии недостаточны, Anubis предлагает пользователю перезапустить себя с флагом /elevated, демонстрируя гибкость, нехарактерную для ранних версий рэнсомваре.

Перед шифрованием проводится сканирование файловой системы с исключением ключевых директорий - Windows, System32, Program Files, AppData и инструментальных папок разработчиков (.vscode, .nuget). Такой избирательный подход предотвращает крах операционной системы, сохраняя работоспособность компьютера для демонстрации требований выкупа, но при этом уничтожает бизнес-данные. Для усиления давления Anubis целенаправленно останавливает службы резервного копирования (Veeam, Acronis), СУБД (SQL Server, Oracle) и антивирусы (Sophos, RTVscan), выполняя команды вида "vssadmin delete shadows /all /quiet" для блокировки восстановления через теневые копии. Особую опасность представляет модуль стирания данных, активируемый через параметр командной строки: он перезаписывает исходные файлы случайными байтами, делая восстановление невозможным даже после оплаты.

Шифрование реализовано на языке Go с использованием библиотеки Elliptic Curve Integrated Encryption Scheme (ECIES), где открытый ключ асимметрично защищает сеансовый AES-ключ. В дизассемблированном коде прослеживаются вызовы функций github_com_ecies_go_Encrypt, обрабатывающих данные блоками с проверкой ошибок - при сбое система логирует проблему через fmt_Errorf, но продолжает работу с другими файлами. Каждый зашифрованный документ получает расширение .anubis, а в директориях появляется файл RESTORE FILES.html с инструкциями по выкупу и угрозами утечки данных. Дополнительно вредонос пытается изменить обои рабочего стола, подменяя файл в реестре Windows (HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System), и внедряет кастомные иконки для помеченных файлов через ресурсы, распаковываемые в C:\ProgramData.

Специалистам по кибербезопасности рекомендуется усилить мониторинг процессов, пытающихся обращаться к raw-дискам или останавливать службы vssadmin. Критически важна фильтрация вложений в корпоративной почте и обучение сотрудников распознаванию фишинга. Для нейтрализации атак следует внедрить сегментацию сети, запрещающую несанкционированное перемещение между узлами, и настроить регулярное автономное резервное копирование на изолированные носители. Эксперты подчеркивают: Anubis представляет долгосрочную угрозу из-за поддержки RaaS-модели, где разработчики получают процент от выкупа, а аффилиаты могут кастомизировать атаки через параметры /PATH и /PFAD, выбирая директории для обработки или исключения. Сочетание финансовой мотивации с технической изощренностью делает эту кампанию особенно разрушительной для инфраструктур, где доступность данных напрямую влияет на жизненно важные процессы.

MD5

• 06edda688a05fd0eaf3a14aba20568c4

SHA1

• 2137eeaa84e961b71f281bfc4c867e417253ad5f

SHA256

• 98a76aacbaa0401bac7738ff966d8e1b0fe2d8599a266b111fdc932ce385c8ed