Шифровальщика Anubis научили уничтожать данные в назидание неплательщикам

Татьяна Никитина 16 Июня 2025 - 14:23

...

Шифровальщика Anubis научили уничтожать данные в назидание неплательщикам

Создатели шифровальщика Anubis добавили Windows-зловреду функции вайпера. Режим стирания содержимого файлов включается по воле оператора, который решил наказать жертву за затягивание переговоров о выкупе или за упорный отказ платить.

Новый аргумент командной строки, /WIPEMODE, обнаружили в Trend Micro при разборе новейших образцов вредоноса. По словам аналитиков, данные удаляются начисто, без возможности восстановления даже с помощью специальных утилит.

Выпотрошенные файлы при этом остаются в папках под своими именами, однако их размер обнуляется, так как они пусты.

Эксперты впервые столкнулись с Anubis в декабре прошлого года — на тот момент шифровальщик именовался Sphinx и находился в стадии разработки. В январе новая кибергруппа стала активно публиковаться на подпольных форумах (на русском языке), а в феврале запустила партнерские программы.

Кроме доступа к шифровальщику, владельцы криминального сервиса, выстроенного по модели RaaS (Ransomware-as-a-Service, вымогатель как услуга), предлагают клиентам ведение переговоров с жертвами шифрования и кражи данных, а также обеспечение первичного доступа к целевым сетям.

Атаки с использованием Anubis обычно начинаются с рассылки адресных писем с вредоносной ссылкой или вложением.

После запуска шифровальщик проверяет права текущего пользователя. Если жертва вошла как админ, он пытается повысить привилегии до SYSTEM; когда прав недостаточно, запуск основных функций зловреда возможен лишь с одобрения оператора.

Перед шифрованием вредонос удаляет теневые копии Windows, чтобы жертва не смогла самостоятельно вернуть данные, а также завершает процессы и останавливает либо отключает службы, способные помешать его работе.

Шифратор Anubis написан на Golang и использует редкий алгоритм ECIES (на эллиптических кривых). Иконки зашифрованных файлов подменяются «фирменным» логотипом зловреда, к имени добавляется расширение .anubis.

По завершении шифрования должны также изменяться обои рабочего стола, но эта функция пока работает некорректно. В оставляемой на зараженной машине записке с требованием выкупа (RESTORE FILES.html) озвучена угроза публикации украденных данных.

По состоянию на 16 июня новейшую версию зловреда (со встроенным вайпером) детектируют 44 из 72 антивирусов из коллекции VirusTotal. На сайте утечек Anubis пока числятся семь жертв — медучреждения, поставщики инжиниринговых услуг, строительные компании из Австралии, Канады, Перу и США.

Следующая главная новость »

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 16 Декабря 2025 - 10:11

Android Потенциально опасные программы Домашние пользователи Корпорации

Xiaomi навяжет криптокошелёк пользователям своих смартфонов

Xiaomi без лишнего шума подписала соглашение о предустановке новых приложений на свои смартфоны. Начиная с 2026 года компания будет выпускать устройства с криптокошельком и приложением от Sei Labs. Формально — это «глобальное партнёрство по продвижению блокчейна», по факту — ещё один нежелательный софт (bloatware) на новых смартфонах.

Приложение связано с Sei — блокчейном первого уровня, заточенным под торговлю цифровыми активами.

Оно будет предустанавливаться на все новые смартфоны Xiaomi, продаваемые за пределами материкового Китая и США. А это огромный объём: Xiaomi занимает третье место на мировом рынке смартфонов после Apple и Samsung, контролируя более 13% рынка — около 160 млн устройств в год.

Само приложение позиционируется как криптокошелёк и «входная точка» в Web3. По задумке Sei, пользователи смогут отправлять переводы, работать с децентрализованными приложениями и пользоваться другими блокчейн-сервисами без установки дополнительного софта.

На этом планы не заканчиваются. Sei Labs хочет расширить сотрудничество и на розничную инфраструктуру Xiaomi. Компания рассчитывает запустить приём стейблкоинов в более чем 20 тысячах фирменных магазинов — сначала в Гонконге и ряде стран ЕС. В перспективе покупатели смогут расплачиваться за устройства Xiaomi, например, в USDC, а транзакции будут проходить через блокчейн Sei.

В официальном комментарии для CoinDesk Sei заявила, что партнёрство откроет криптовалюты для миллионов людей, особенно в регионах, где Xiaomi доминирует. Например, в Греции компания занимает почти 37% рынка смартфонов, а в Индии — около 24%.

Но если посмотреть на ситуацию глазами обычного пользователя, всё выглядит куда менее вдохновляюще. Для большинства это просто ещё одно предустановленное приложение, которое никто не просил.

Блоатвар давно остаётся болезненной темой для владельцев смартфонов Xiaomi. Несколько лет назад ситуация была особенно тяжёлой: устройства поставлялись с массой лишних приложений, которыми юзеры никогда не пользовались. Со временем компания стала действовать осторожнее и прозрачнее, но новая инициатива с криптокошельком выглядит шагом назад.

Предустанавливать криптоприложения, о которых пользователь может даже не знать и которыми не собирается пользоваться, — решение, мягко говоря, спорное. Особенно на фоне того, что далеко не все готовы видеть Web3 и блокчейн прямо «из коробки» на своём смартфоне.

Как расследовать внутренние инциденты в ИБ? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »