新版Thanos勒索軟件服務繞過多數殺軟技術

安全企業Nyotron在去年11月披露了可供勒索軟件繞過安全偵測機制的RIPlace技術，當時尚未有任何勒索軟件采用該技術，不過，另一安全企業Recorded Future最近發現，新版的Thanos勒索軟件已經加入了RIPlace技術，還把它納入“企業版”功能中。

Nyotron解釋，勒索軟件的攻擊有三個標準步驟，先打開及讀取源文件，再于內存中加密文件，之后破壞源文件。而破壞源文件的方法有3種，把加密文件寫進源文件中;或是直接將加密文件存入硬盤，再利用DeleteFile功能刪除源文件;也能選擇把源文件存入硬盤，再通過Rename功能置換源文件，幾乎所有黑客都采用前面兩種，而第三種則屬于Windows操作系統的設計漏洞，尚未被黑客利用，但只需要兩行程序就能開啟，并將它命名為RIPlace技術。

當時Nyotron還公布了RIPlace的概念性驗證攻擊程序，而且測試了坊間號稱可偵測勒索軟件的十多種殺毒工具，發現它們全都無法逮到通過RIPlace技術所執行的攻擊行動。而Recorded Future則發現，外號為Nosophoros的黑客今年1月在地下論壇中兜售的Thanos勒索軟件，便采用了RIPlace技術，很可能是市場上第一個采用RIPlace的勒索軟件。

黑客將Thanos定位為勒索軟件產生器，具備43種配置選項，還提供只訂閱一個月的輕量版（Light），以及可訂閱整個Thanos生命周期的企業版（Company），而高端的RootKit、RIPlace或在目標組織中橫向移動的功能，都只出現在企業版中。Recorded Future預測，勒索軟件即服務的市場將會繼續茁壯發展，且訂閱輕量版的用戶都能成為Thanos會員，而Thanos的企業客戶，則能創建自己的勒索軟件即服務業務。