Anubis ransomware ganha destruição de ficheiros

O ransomware Anubis passou a disponibilizar uma função de eliminação de ficheiros sem possibilidade de recuperação.

O ransomware Anubis implementou uma função de destruição de ficheiros (Wipe Mode) que torna impossível a recuperação dos dados mesmo que a vítima pague o resgate. Para além de encriptar os ficheiros e exigir pagamento, o Anubis passa agora a ter a opção de aapagar por completo o conteúdo dos ficheiros, mantendo apenas os nomes e a estrutura das pastas, criando a ilusão de que os dados ainda estão lá.

O Anubis, identificado pela primeira vez em Dezembro de 2024, é um ransomware-as-a-service (RaaS) relativamente recente que tem ganho força desde o início de 2025. Os seus operadores oferecem percentagens generosas aos afiliados: 80% das receitas em ataques de ransomware e 60% em extorsão de dados. Apesar de, para já, apresentarem apenas oito vítimas na sua página na dark web, tudo indica que se estão a preparar para ataques em maior escala ao reforçarem as funcionalidades do malware.

Segundo a Trend Micro, que analisou as amostras mais recentes, o novo modo de destruição serve para aumentar a pressão sobre as vítimas. A opção de linha de comando /WIPEMODE activa o apagamento, necessitando de autenticação por chave para funcionar. O wiper elimina o conteúdo dos ficheiros (reduzindo-os a 0 KB) mas mantém a estrutura e os nomes, o que confunde ainda mais a vítima.

Os ataques do Anubis começam geralmente com emails de phishing contendo links ou anexos maliciosos. O malware usa encriptação ECIES, semelhante ao que se encontra no EvilByte e no Prince ransomware. Além disso, remove cópias de backup que possam existir no sistema, termina processos que possam interferir com a sua actividade, e deixa notas de resgate nas pastas afectadas.