ThanosランサムウエアはRaaS(Ransomeware as a Serrvice)で提供されているマルウエアです。
常に進化していて質の悪いランサムウエアといえるでしょう。
問題としてはアンチウィルスソフトやEDRソフトの検知を回避する技術を身に着けていることです。
以下は、個人的に備忘録としてリンクを載せています。
RIPlaceという新たな回避テクニックを開発していましたが、新たにネットワークモードでのセーフブートをサポートしています。
セーフモードの場合、アンチウィルスソフトなんぞ動きませんからやりたい放題です。PEファイルが実行される前に捕捉することがまずは重要でしょう。次は悪意のある行動の初期段階で見つけること。(このあたりはアンチウィルスソフトベンダーさんがガリガリと作りこむしかないかなと。。)
Analysis of .NET Thanos Ransomware Supporting Safeboot with Networking Mode
RIPlaceについての解説はこちら
RIPlace: A Simple Evasion Technique That Makes Bypassing AV and Ransomware Protection Possible
