Шифровальщик Anubis начал уничтожать данные в назидание неплательщикам

Создатели шифровальщика Anubis добавили в новую версию вредоносного ПО функции вайпера. Этот режим стирает содержимое файлов по команде оператора, который может использовать его в качестве наказания для жертвы, если она затягивает переговоры по выкупу или отказывается платить. Новый аргумент командной строки, /WIPEMODE, был обнаружен аналитиками Trend Micro при анализе свежих образцов Anubis. Данные стираются без возможности восстановления, даже с использованием специальных утилит. После удаления файлы остаются в папках, но их размер обнуляется, так как они становятся пустыми.

Anubis был впервые замечен в декабре прошлого года, когда он ещё назывался Sphinx и находился в стадии разработки. В январе текущего года новая кибергруппа начала активно публиковаться на подпольных форумах, а в феврале запустила программу партнёрства. В рамках модели RaaS (Ransomware-as-a-Service) владельцы сервиса предлагают клиентам не только доступ к шифровальщику, но и помощь в переговорах с жертвами, а также обеспечивают первичный доступ к целевым сетям.

Атаки с использованием Anubis обычно начинаются с рассылки писем с вредоносными ссылками или вложениями. После активации шифровальщик проверяет права пользователя, пытаясь повысить их до уровня SYSTEM, если жертва обладает правами администратора. В случае недостаточных прав запуск основных функций зловреда возможен только с разрешения оператора. Перед шифрованием Anubis удаляет теневые копии Windows, чтобы затруднить восстановление данных жертвой, а также завершает процессы и останавливает службы, которые могут помешать его работе.

Anubis написан на языке Golang и использует редкий алгоритм ECIES (на эллиптических кривых). Файлы, которые были зашифрованы, получают расширение .anubis, а их иконки заменяются на логотип шифровальщика. Также в некоторых случаях меняются обои рабочего стола, но эта функция пока работает нестабильно. В оставленной на зараженной машине записке с требованием выкупа упоминается угроза публикации украденных данных.

По данным на 16 июня, новейшая версия Anubis (с функцией вайпера) была обнаружена 44 антивирусами из 72 на сайте VirusTotal. На момент публикации на сайте утечек указаны семь жертв, среди которых медучреждения и компании из Австралии, Канады, Перу и США.