安全企業(yè)Nyotron在去年11月披露了可供勒索軟件繞過(guò)安全偵測(cè)機(jī)制的RIPlace技術(shù)，當(dāng)時(shí)尚未有任何勒索軟件采用該技術(shù)，不過(guò)，另一安全企業(yè)Recorded Future最近發(fā)現(xiàn)，新版的Thanos勒索軟件已經(jīng)加入了RIPlace技術(shù)，還把它納入“企業(yè)版”功能中。

Nyotron解釋，勒索軟件的攻擊有三個(gè)標(biāo)準(zhǔn)步驟，先打開(kāi)及讀取源文件，再于內(nèi)存中加密文件，之后破壞源文件。而破壞源文件的方法有3種，把加密文件寫(xiě)進(jìn)源文件中;或是直接將加密文件存入硬盤(pán)，再利用DeleteFile功能刪除源文件;也能選擇把源文件存入硬盤(pán)，再通過(guò)Rename功能置換源文件，幾乎所有黑客都采用前面兩種，而第三種則屬于Windows操作系統(tǒng)的設(shè)計(jì)漏洞，尚未被黑客利用，但只需要兩行程序就能開(kāi)啟，并將它命名為RIPlace技術(shù)。

當(dāng)時(shí)Nyotron還公布了RIPlace的概念性驗(yàn)證攻擊程序，而且測(cè)試了坊間號(hào)稱可偵測(cè)勒索軟件的十多種殺毒工具，發(fā)現(xiàn)它們?nèi)紵o(wú)法逮到通過(guò)RIPlace技術(shù)所執(zhí)行的攻擊行動(dòng)。而Recorded Future則發(fā)現(xiàn)，外號(hào)為Nosophoros的黑客今年1月在地下論壇中兜售的Thanos勒索軟件，便采用了RIPlace技術(shù)，很可能是市場(chǎng)上第一個(gè)采用RIPlace的勒索軟件。

黑客將Thanos定位為勒索軟件產(chǎn)生器，具備43種配置選項(xiàng)，還提供只訂閱一個(gè)月的輕量版（Light），以及可訂閱整個(gè)Thanos生命周期的企業(yè)版（Company），而高端的RootKit、RIPlace或在目標(biāo)組織中橫向移動(dòng)的功能，都只出現(xiàn)在企業(yè)版中。Recorded Future預(yù)測(cè)，勒索軟件即服務(wù)的市場(chǎng)將會(huì)繼續(xù)茁壯發(fā)展，且訂閱輕量版的用戶都能成為T(mén)hanos會(huì)員，而Thanos的企業(yè)客戶，則能創(chuàng)建自己的勒索軟件即服務(wù)業(yè)務(wù)。