新兴勒索软件Anubis近来锁定Windows及Android用户发动攻击，已在美国、欧洲、澳洲等地攻击医疗、营建组织，能窃取资料、删除文件还会防止回复。

Anubis最早出现于2024年11月，为勒索软件组织。虽然不确定是它来自哪个区域，但证据显示攻击者操俄语。虽然活动时间不长，但透过重大基础架构及锁定高价值目标（如法国迪士尼乐园）使其在网路犯罪界及资安界都引起关注。

资安公司BitSight近日发布State of the Underground 2025报告，揭露Anubis的攻击手法及受害者样貌。

Anubis提供单纯的RaaS (Ransomware as a Service)基础架构，和同伙80/20分帐，也可为客户提供资料窃取及勒索服务。在攻击手法上，Anubis主要透过社交工程发送精準钓鱼信件挟带恶意附件或连结来骇入受害装置、使用指令及脚本解释器（command and scripting interpreter）及参数控制执行，还运用有效帐号躲避侦测。一旦开始行动，这只勒索软件最大特徵是抹除模式，像是将文件降到0 KB。它还会避免加密系统目录如system32、windows及program file等目录，以防系统当机。

目前Anubis受害者涵括Android和Windows装置。在Android平台上，它主要以银行木马形式出现。它常利用大量文字简讯散布以扩大攻击面、使用冒充登入提示的外覆（overlay）画面、萤幕和键盘侧录来窃取凭证。受害者会被锁住无法登入，而它一旦找到目标文件就会外送到攻击者控制的服务器。

在Windows平台上，Anubis就发挥RaaS的攻击能力，包括会利用凭证提升权限、并在加密文件后删除文件、移除磁碟区阴影拷贝（Volume Shadow Copy）避免回复可能性、它还会终止特定系统服务以利其加密及进一步降低回复可能性。

Anubis目前受害者着重特定产业，如医疗、营建和专业服务组织。目前确知其受害者分布于美国、法国、澳洲及祕鲁。澳洲一家医院遭其窃走病患个资、医疗资讯及保险卡资讯。研究人员呼吁用户针对其攻击手法留意可疑的侦察或滥用行动。