В мире киберпреступности появилась новая угроза - ransomware Anubis, который не только шифрует файлы жертв, но и безвозвратно уничтожает их. Этот гибридный вредоносный код сочетает в себе функции классического шифровальщика и деструктивного вируса, что делает его особенно опасным.
Описание
Anubis работает по модели Ransomware-as-a-Service (RaaS), предлагая злоумышленникам гибкие условия сотрудничества. В отличие от большинства подобных программ, он включает режим "wipe mode", который полностью стирает содержимое файлов, делая восстановление невозможным даже после выплаты выкупа.
По данным исследователей, группировка активизировалась в декабре 2024 года, а уже к 2025-му заявила о себе на киберпреступных форумах, таких как RAMP и XSS. Злоумышленники используют двойную схему вымогательства: помимо требования денег за расшифровку, они угрожают публикацией украденных данных.
Anubis атакует организации в разных странах, включая США, Канаду, Австралию и Перу, а среди его жертв - компании из сфер здравоохранения, строительства и инженерии. Вирус распространяется через фишинговые письма, а после проникновения в систему проверяет права администратора, пытается повысить привилегии и уничтожает резервные копии данных.
Эксперты отмечают, что Anubis использует передовые методы шифрования, включая алгоритм ECIES, а также меняет иконки файлов на свой логотип. Однако попытки изменить обои рабочего стола пока не увенчались успехом.
Учитывая деструктивные возможности этого ransomware, компании должны усилить защиту данных, регулярно создавать резервные копии и обучать сотрудников распознаванию фишинговых атак.
Завершаемые процессы
wxServer.exe, wxServerView.exe, sqlmangr.exe, RAgui.exe, supervise.exe, Culture.exe, Defwatch.exe, httpd.exe, sync-taskbar, sync-worker, wsa_service.exe, synctime.exe, vxmon.exe, sqlbrowser. exe, tomcat6.exe, Sqlservr.exe, AcronisAgent, AcrSch2Svc, agntsvc.exe, BackExecRPCService, backup, BackupExecAgentAccelerator, BackupExecDiveciMediaService, BackupExecJobEngine, bedbg, CAARCUpdateSvc, ccEvtMgr, Culserver, dbeng50. exe, dbeng8, dbsnmp.exe, dbsrv12.exe, DefWatch, encsvc.exe, excel.exe, firefox.exe, infopath.exe, Intuit.QuickBooks.FCS, isqlplussvc.exe, memtas, mepocs, msaccess. exe, MSExchange, msftesql-Exchange, msmdsrv, mspub.exe, MSSQL, mydesktopqos.exe, mydesktopservice.exe, ocautoupds.exe, ocomm.exe, ocssd.exe, onenote.exe, oracle.exe, outlook.exe, PDVFSService, powerpnt. exe, QBCFMonitorService, QBFCService, QBIDPService, SavRoam, sophos, sqbcoreservice.exe, sql.exe, sqladhlp, SQLADHLP, sqlagent, SQLAgent, SQLAgent$SHAREPOINT, SQLBrowser, SQLWriter, synctime.exe, tbirdconfig.exe, thebat. exe, thunderbird.exe, tomcat6, veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, visio.exe, vmware-converter, vmware-usbarbitator64, WinSAT.exe, winword.exe, wordpad.exe, WSBExchange, xfssvccon.exe, YooBackup
Отключаемые или останавливаемые службы
SQLPBDMS, SQLPBENGINE, MSSQLFDLauncher, SQLSERVERAGENT, MSSQLServerOLAPService, SSASTELEMETRY, SQLBrowser, SQL Server Distributed Replay Client, SQL Server Distributed Replay Controlle, MsDtsServer150, SSISTELEMETRY150, SSISScaleOutMaster150, SSISScaleOutWorker150, MSSQLLaunchpad, SQLWriter, SQLTELEMETRY, MSSQLSERVER, AcronisAgent, AcrSch2Svc, backup, BackupExecAgentAccelerator, BackupExecAgentBrowser, BackupExecDiveciMediaService, BackupExecJobEngine, BackupExecManagementService, BackupExecRPCService, BackupExecVSSProvider, CAARCUpdateSvc, CASAD2DWebSvc, ccEvtMgr, ccSetMgr, DefWatch, GxBlr, GxCIMgr, GxCVD, GxFWD, GxVss, Intuit.QuickBooks.FCS, memtas, mepocs, PDVFSService, QBCFMonitorService, QBFCService, QBIDPService, RTVscan, SavRoam, sophos, sql, stc_raw_agent, svc$, veeam, VeeamDeploymentService, VeeamNFSSvc, VeeamTransportSvc, VSNAPVSS, vss, YooBackup, Yoo
Индикаторы компрометации
SHA256
- 98a76aacbaa0401bac7738ff966d8e1b0fe2d8599a266b111fdc932ce385c8ed
