«Плати — не плати, всё равно получишь пустую папку». Новый стиль от Anubis

Операторы вымогательской программы Anubis внедрили в свой инструмент разрушительный режим , при котором файлы не просто кодируются, а безвозвратно уничтожаются. Такая функция лишает жертву возможности восстановить данные даже после оплаты выкупа — содержимое обнуляется, структура каталогов сохраняется, но сами файлы превращаются в пустые оболочки.

Anubis — относительно новая группировка на рынке Ransomware-as-a-Service (RaaS) , не связанная с одноимённым Android-вредоносом. Впервые она была замечена в декабре 2024 года, однако настоящая активность началась в начале 2025-го. 23 февраля на подпольном форуме RAMP злоумышленники объявили о запуске партнёрской программы , предложив коллегам по черному рынку долю с выручки: 80% — для тех, кто напрямую распространяет шифровальщик, 60% — для участников, специализирующихся на шантаже, и 50% — для поставщиков первоначального доступа.

На сегодняшний день в даркнете размещена страница вымогателей с данными только восьми жертв. Судя по всему, группа использует текущий этап как техническую обкатку перед масштабным распространением — и как раз к этому моменту она дорабатывает функционал вредоносного ПО.

Исследование Trend Micro , опубликованное накануне, подтвердило наличие у Anubis новой функции, выходящей за рамки обычного шифрования. В последних образцах был обнаружен специальный режим стирания файлов, включаемый через командную строку. Для его активации используется параметр /WIPEMODE, причём для запуска требуется аутентификация по ключу — функция не запускается автоматически и требует целенаправленного управления от атакующего.

При включении режима уничтожения шифровальщик затирает содержимое всех обнаруженных файлов, сводя их размер к нулю. Названия остаются прежними, как и иерархия директорий, но внутри — пустота. Визуально жертва по-прежнему видит файлы в своих папках, однако вернуть информацию невозможно ни с помощью расшифровки, ни через сторонние утилиты. Это делает атаку необратимой, даже если выкуп был выплачен.

Аналитики считают, что эта функция — это инструмент давления: если раньше пострадавшие могли тянуть с решением или игнорировать требования, то теперь затягивание переговоров грозит полной потерей данных. По сути, Anubis превращает угрозу из потенциальной в реальную — и это добавляет весу в торге.

Вредонос также поддерживает несколько других параметров, передаваемых при запуске. Среди них — команды на повышение привилегий, выбор целевых путей и указание директорий, которые следует исключить. Системные и программные каталоги, как правило, добавлены в список исключений по умолчанию — чтобы операционная система оставалась работоспособной.

Anubis также удаляет теневые копии томов (Volume Shadow Copies), завершает процессы и останавливает службы, способные помешать шифрованию. Эти шаги помогают избежать автоматического восстановления данных с помощью встроенных механизмов Windows.

Сама программа построена на базе ECIES — криптографической схемы, использующей эллиптические кривые. Анализ показал, что архитектура Anubis во многом схожа с ранее зафиксированными вымогателями EvilByte и Prince, что может указывать либо на заимствование кода, либо на то, что участники те же или по крайней мере сотрудничают между собой.

После завершения атаки файлы получают расширение .anubis. В каждую папку, затронутую вредоносом, добавляется HTML-файл с требованием выкупа. Вредонос также пытается заменить обои рабочего стола на устройство, чтобы привлечь внимание жертвы, однако в текущей реализации эта функция, по всей видимости, ещё нестабильна и в большинстве случаев не срабатывает.

Атаки Anubis, как правило, начинаются с фишинговых писем , содержащих вредоносные вложения или ссылки. После перехода или запуска файла начинается развёртывание основного модуля, который загружает полезную нагрузку и активирует компоненты шифрования и удаления данных.

В Trend Micro отметили, что список индикаторов компрометации (IoC), связанных с Anubis, уже опубликован. Он включает сигнатуры, хэши, домены и сетевые артефакты, по которым можно идентифицировать активность группировки в инфраструктуре.

На текущий момент масштаб деятельности группировки ограничен, но с учётом активной технической эволюции вредоносной платформы можно ожидать расширения кампании.