El cliente Thanos está escrito en C # y todos los clientes generados tienen cadenas aleatorias para los nombres de métodos, nombres de variables y nombres de clase, señalan los expertos en borrado seguro de archivos. El cliente Thanos contendrá de 12 a 17 clases dependiendo de las opciones y configuraciones seleccionadas al crear el malware. Algunas de las clases, como Program y Crypto, se incluyen en cada compilación, mientras que otras, como NetworkSpreading y Wake on LAN, solo se incluyen en el binario final, si se selecciona la opción respectiva.
A continuación se muestra una tabla con las principales clases resultantes de este proceso:
La ruta de ejecución general de Thanos contiene tres actividades principales que son descritas a continuación:
- Opciones avanzadas: Para realizar acciones relacionadas con la configuración
- Prevención y recuperación: Detiene los servicios y procesos que pudieran impiden la ejecución del malware y busca copias de seguridad para su eliminación.
- Cifrado y carga: Se cifran los archivos y se cargan a FTP si está configurado para hacerlo durante la compilación y se muestra la nota de rescate a la víctima.
Los hackers también podrían extraer algunos archivos de las víctimas y publicarlos en algún sitio web como evidencia del ataque.
Los investigadores aseguran que Thanos ha recibido críticas muy positivas de la comunidad cibercriminal, pues funciona sin contratiempos y es actualizado constantemente. Los grupos de hacking que emplean esta herramienta podrían generar cuantiosas ganancias, lo que beneficia a los desarrolladores de Thanos y dificulta la creación de una herramienta de descifrado.
Para mayores informes sobre vulnerabilidades, exploits, variantes de malware y riesgos de seguridad informática, se recomienda ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS), al igual que a las plataformas oficiales de las compañías tecnológicas.