Thanos 랜섬웨어는 Raccine 이라는 보안 프로그램을 무력화 시키는 특징이 있습니다
Raccine 보안 프로그램은 일반적인 백신처럼 파일 암호화 행위를 탐지하는 것이 아니라 랜섬웨어가 실행될때 공통적으로 진행하는 윈도우 쉐도우 복사본을 삭제하는데 이를 감지하여 중지 시킵니다
이러한 Raccine의 기능을 못하게 하기 위해 Thanos 랜섬웨어는 Raccine 프로세스 종료, 시작프로그램 레지스트리 값 삭제, 작업 스케쥴러 등록값을 삭제 처리 합니다
또한, 네트워크 드라이브의 접근을 위해 네트워크 검색, 파일 및 프린터 공유 등의 방화벽 규칙을 변경 합니다
그리고, 파일 암호화에 방해가 될만한 프로세스 및 서비스를 중지 시킵니다
확장자 변경은 "문서.txt.[ID-<Random>].[pingp0ng@tuta.io].noname" 형태로 변경 됩니다
안내 파일은 "decrypt_info.txt" 파일을 각 폴더에 생성 합니다
생성된 안내 파일은 윈도우 부팅시 마다 자동 실행 되도록 프로그램 시작 목록에 등록되어 실행 됩니다
일부의 랜섬웨어 처럼 Thanos랜섬웨어도 RDP(원격제어) 방식으로 시스템에 접근 하기위해 계정정보를 무차별 대입(Brute-force) 방법을 이용하므로 로그인 비번을 복잡하게 설정하거나 특정 IP로 접속을 제한 하는 방법등을 사용 해야할 필요가 있습니다
해커에게 몸값을 지불한다고 해도 복구에 대한 보장은 없습니다
가장 확실한 방법은 방화벽 구축및 백업웨어를 이용한 백업이 절실히 요구 됩니다
데이터 잃고 후회하지 말고, 잃기전에 대비 해야 합니다