阿努比斯勒索软件：新型RaaS兼具加密与永久性数据擦除双重威胁

2025年出现了一种新型勒索软件即服务（RaaS，阿努Ransomware-as-a-Service）威胁——它不仅会加密你的勒索数据，还会彻底销毁数据
。软件这款名为"阿努比斯"的新型性数胁勒索软件将传统文件加密与恶意功能相结合：其擦除模式会永久破坏文件，即使受害者支付赎金也无法恢复数据。兼具加密据擦

勒索信 | 图片来源：趋势科技

趋势科技在最新威胁情报报告中警告 ："阿努比斯是永久一种新兴的勒索软件即服务（RaaS）操作 ，同时具备文件加密和文件销毁能力——这种双重威胁特性相当罕见 。除双"

恶意软件演化历程

阿努比斯最早出现于2024年12月，重威同期在X平台（原Twitter）以及RAMP 、源码下载阿努XSS等地下论坛悄然现身。勒索这款最初代号为"斯芬克斯"的软件原型程序，现已发展成具备完整品牌标识
、新型性数胁数据泄露网站和灵活联盟模式的兼具加密据擦成熟勒索活动。

报告指出 ："该勒索软件具有擦除模式，永久可永久删除文件
，除双即使支付赎金也无法恢复数据。"

破坏性架构设计

阿努比斯的架构专为破坏而设计 ，为攻击联盟提供细粒度控制，源码库支持以下命令行参数
 ：

/KEY= 设置加密密钥/elevated 执行权限提升/WIPEMODE 激活破坏性擦除/PATH= 和 /PFAD= 精确指定目标文件或排除项

入侵系统后，阿努比斯会尝试提升权限，并通过探测物理驱动器检查管理权限 ："该程序通过尝试访问系统主物理驱动器
，来检测当前用户是否具有管理员权限 。"趋势科技解释道
。

加密与破坏机制

获得权限后 ，恶意软件使用椭圆曲线集成加密方案（ECIES 
，Elliptic Curve Integrated Encryption Scheme）加密数据——该算法也见于EvilByte和Prince勒索变种
 。加密文件会被添加.anubis扩展名，系统图标会被替换为攻击者标识。它甚至尝试使用名为wall.jpg的香港云服务器文件更改用户桌面壁纸——这种勒索软件品牌化操作相当罕见
 。

报告指出："它会修改加密文件的图标，替换为自己的标志。"

致命数据擦除功能

阿努比斯最危险的功能是文件擦除器。当触发/WIPEMODE参数时，勒索软件不仅加密文件——还会将文件大小归零，不可逆地清除内容 。趋势科技警告："文件仍会显示在目录中，高防服务器但其大小变为0 KB ，表明内容已被完全擦除。"

这给受害者带来巨大压力
，尤其当阿努比斯同时实施双重勒索时——威胁若不满足要求就泄露被盗数据 。

完整攻击链分析

攻击链包含多阶段流程：

初始访问（T1566） ：携带恶意附件或链接的鱼叉式钓鱼邮件执行（T1059）：通过命令行触发含恶意参数的脚本权限提升（T1134.002）  ：利用访问令牌尝试系统级提权防御规避（T1078） ：利用有效账户并以提升权限重新启动发现（T1083） ：扫描目标目录同时避开Windows系统文件夹影响阶段 ：加密数据（T1486）、删除卷影副本（T1490） 、终止服务（T1489），若启用则不可逆擦除数据（T1485）成熟的犯罪商业模式

阿努比斯不仅是恶意软件——更是建站模板成熟的犯罪业务。该组织以supersonic和Anubis__media等别名在地下论坛活跃
，提供 ：

可协商的联盟收入分成访问变现计划数据勒索模型定制化赎金配置

分析证实："他们提出的所有收入分成结构都支持长期合作谈判。"该组织已公布澳大利亚 、加拿大、秘鲁和美国受害者名单
，波及医疗、建筑和工程等行业——显示出明显的机会主义攻击特征。亿华云