新型RaaS兼具加密与永久性数据擦除双重威胁

2025年出现了一种新型勒索软件即服务（RaaS，Ransomware-as-a-Service）威胁——它不仅会加密你的数据，还会彻底销毁数据。这款名为"阿努比斯"的勒索软件将传统文件加密与恶意功能相结合：其擦除模式会永久破坏文件，即使受害者支付赎金也无法恢复数据。

趋势科技在最新威胁情报报告中警告："阿努比斯是一种新兴的勒索软件即服务（RaaS）操作，同时具备文件加密和文件销毁能力——这种双重威胁特性相当罕见。"

恶意软件演化历程

阿努比斯最早出现于2024年12月，同期在X平台（原Twitter）以及RAMP、XSS等地下论坛悄然现身。这款最初代号为"斯芬克斯"的原型程序，现已发展成具备完整品牌标识、数据泄露网站和灵活联盟模式的成熟勒索活动。

报告指出："该勒索软件具有'擦除模式'，可永久删除文件，即使支付赎金也无法恢复数据。"

破坏性架构设计

阿努比斯的架构专为破坏而设计，为攻击联盟提供细粒度控制，支持以下命令行参数：

• /KEY=设置加密密钥
• /elevated执行权限提升
• /WIPEMODE激活破坏性擦除
• /PATH=和/PFAD=精确指定目标文件或排除项

入侵系统后，阿努比斯会尝试提升权限，并通过探测物理驱动器检查管理权限："该程序通过尝试访问系统主物理驱动器，来检测当前用户是否具有管理员权限。"趋势科技解释道。

加密与破坏机制

获得权限后，恶意软件使用椭圆曲线集成加密方案（ECIES，Elliptic Curve Integrated Encryption Scheme）加密数据——该算法也见于EvilByte和Prince勒索变种。加密文件会被添加.anubis扩展名，系统图标会被替换为攻击者标识。它甚至尝试使用名为wall.jpg的文件更改用户桌面壁纸——这种勒索软件品牌化操作相当罕见。

报告指出："它会修改加密文件的图标，替换为自己的标志。"

致命数据擦除功能

阿努比斯最危险的功能是文件擦除器。当触发/WIPEMODE参数时，勒索软件不仅加密文件——还会将文件大小归零，不可逆地清除内容。趋势科技警告："文件仍会显示在目录中，但其大小变为0 KB，表明内容已被完全擦除。"

这给受害者带来巨大压力，尤其当阿努比斯同时实施双重勒索时——威胁若不满足要求就泄露被盗数据。

完整攻击链分析

攻击链包含多阶段流程：

• 初始访问（T1566）：携带恶意附件或链接的鱼叉式钓鱼邮件
• 执行（T1059）：通过命令行触发含恶意参数的脚本
• 权限提升（T1134.002）：利用访问令牌尝试系统级提权
• 防御规避（T1078）：利用有效账户并以提升权限重新启动
• 发现（T1083）：扫描目标目录同时避开Windows系统文件夹
• 影响阶段：加密数据（T1486）、删除卷影副本（T1490）、终止服务（T1489），若启用则不可逆擦除数据（T1485）

成熟的犯罪商业模式

阿努比斯不仅是恶意软件——更是成熟的犯罪业务。该组织以supersonic和Anubis__media等别名在地下论坛活跃，提供：

• 可协商的联盟收入分成
• 访问变现计划
• 数据勒索模型
• 定制化赎金配置

分析证实："他们提出的所有收入分成结构都支持长期合作谈判。"该组织已公布澳大利亚、加拿大、秘鲁和美国受害者名单，波及医疗、建筑和工程等行业——显示出明显的机会主义攻击特征。