В последней версии программного обеспечения Anubis разработчики интегрировали функцию удаления данных. Данная функция позволяет оператору осуществлять удаление содержимого файлов. Эта возможность может быть использована в качестве меры воздействия в случае, если жертва затягивается с переговорами о выкупе или отказывается выполнять финансовые требования.
Компания Trend Micro выявила новый аргумент командной строки /WIPEMODE, обеспечивающий необратимость процесса удаления файлов. В результате файлы становятся физически пустыми, однако их размер сохраняется на нулевом уровне.
В декабре минувшего года вредоносная программа Anubis была обнаружена под альтернативным названием Sphinx. В текущем году, в январе, кибергруппа активизировала свою деятельность, а в феврале представила модель как сервис ransomware-as-a-service (RaaS). Данный сервис предоставляет клиентам доступ к шифровальнику и поддержку в процессе переговоров.
Атаки инициируются посредством рассылки электронных писем, содержащих вредоносные ссылки. После активации шифровальщик проводит проверку пользовательских прав и, при необходимости, предпринимает действия по их повышению. В случае недостаточных прав выполнение функций возможно только при наличии разрешения оператора.
Перед началом процесса шифрования Anubis осуществляет удаление теневых копий Windows и завершение процессов, которые могут препятствовать выполнению основной задачи, пишет progorodchelny.