安全公司表示,近期该组织在其同名勒索软件中引入了一项“鱼死网破”功能,也就是如果勒索失败,黑客可以直接发动相应功能,彻底清空受害者设备上的文件,即使受害者后续选择支付赎金,相应文件也无法恢复。安全公司认为,黑客旨在用这种功能设计来提升受害方的心理压力,迫使其更有可能选择支付赎金。
相应研究人员指出,虽然此类直接删除受害者文件的功能并非首次出现,但 Anubis 的独特之处在于,它将数据加密与数据抹除两种机制结合在一套攻击流程中,从而令攻击手段更加复杂且难以预防。
据悉,在实际攻击过程中,相应黑客通常通过钓鱼邮件获取目标的初始访问权限,随后执行脚本与命令解释器,利用系统 Token 和进程权限提升技巧规避安全检测,并潜伏在系统中识别出关键进程,继而锁定需要加密的文件与文件夹,并最终发起完整的勒索攻击。
▲ 遭到黑客加密的文件
研究人员特别提到,当 Anubis 启用其数据抹除功能时,被删除的文件虽然名称和后缀名保持不变,但实际上文件内容已完全清空,文件大小变成“0KB”,形式上看似未变,实则已无法恢复。
▲ 相应数据抹除功能
▲ 被抹除后的数据
此类攻击模式的演化,不仅显示出黑客组织在技术与组织结构上的日益成熟,也意味着传统的安全防护手段正面临更大挑战。
