近期發現一種新興的勒索軟體，其功能包括加密與永久刪除檔案，這種新攻擊手法稱之為「rare dual-threat(罕見的雙重威脅)」。

Trend Micro研究人員Maristel Policarpio、Sarah Pearl Camiling和 Sophia Nilette Robles在2025年6月中旬發表一份報告中指出：「該勒索軟體具有「抺除模式」，可以永久刪除檔案，即使支付贖金也無法恢復」。該勒索軟體即服務 (Ransomware-as-a-Service, RaaS) 稱之為Anubis，於2024年12月起便開始活躍於網際網路，受害者遍布澳洲、加拿大、秘魯和美國的醫療保健、飯店和建築業。對此勒索軟體早期樣本的分析，開發者最初將其命名為Sphinx，之後在最終版本中對其進行調整。值得注意的是，該網路犯罪集團與一款Android銀行惡意木馬及一款同名Python後門程式相互間並無關聯，Python後門程式據稱以經濟利益為目的的FIN7（GrayAlpha）組織有關。

「Anubis營運著一個靈活聯盟計劃，提供可協商的收入分成，並支持資料勒索和存取權銷售等其他盈利途徑」。該聯盟計劃採用80-20分成，允許聯盟參與者獲得所支付贖金的80%。另一方面，資料勒索和存取權獲利方案則分別提供60-40和50-50的分成。Anubis發起的攻擊鏈涉及使用網路釣魚電子郵件作為初始存取媒介，網路攻擊參與者利用此立足點提升權限、進行偵察，並採取措施刪除磁碟副本，然後加密檔案並在必要時抺除其內容。這意味著檔案大小會減少到0 KB，但檔案名稱及其副檔名保持不變，使其恢復變得不可能，從而對受害者施加更大的支付壓力。

網路安全研究人員表示：「該勒索軟體包含一個使用 /WIPEMODE參數的抹除功能，可永久刪除檔案內容，阻止任何恢復」。勒索軟體能夠加密並永久銷毀資料，這大大增加了受害者的風險。在發現Anubis破壞行為之際，Recorded Future揭露與FIN7組織相關的新惡意程式的基礎設施，這些基礎設施被用於冒充合法軟體和服務，主要在傳播NetSupport RAT活動的一部分。Mastercard旗下的威脅情報公司表示，在過去一年中，發現了三種獨特的傳播媒介，使用虛假瀏覽器更新頁面、虛假7-Zip下載網站和TAG-124（404 TDS、Chaya_002、Kongtuke和LandUpdate808）來傳播惡意軟體。虛假瀏覽器更新方法會載入一個名為MaskBat自訂載入程式來執行遠端存取木馬，而其餘兩種感染媒介則使用另一個名為PowerNet自訂 PowerShell載入程式來解壓縮並執行遠端存取木馬。

「MaskBat 與FakeBat有其相似之處，但經過混淆處理，並包含 GrayAlpha相關的字串， Recorded Future-Insikt Group表示:：「雖然觀察到所有三種感染媒介同時使用，但只有虛假7-Zip下載頁面仍然活躍，並在2025年4月又出現了新註冊的域名」。

本文參考自：https://thehackernews.com/2025/06/anubis-ransomware-encrypts-and-wipes.html