KR101883713B1 - 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 - Google Patents

콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 Download PDF

Info

Publication number
KR101883713B1
KR101883713B1 KR1020160121605A KR20160121605A KR101883713B1 KR 101883713 B1 KR101883713 B1 KR 101883713B1 KR 1020160121605 A KR1020160121605 A KR 1020160121605A KR 20160121605 A KR20160121605 A KR 20160121605A KR 101883713 B1 KR101883713 B1 KR 101883713B1
Authority
KR
South Korea
Prior art keywords
program
content file
access
unit
exe
Prior art date
Application number
KR1020160121605A
Other languages
English (en)
Other versions
KR20180032409A (ko
Inventor
이병곤
Original Assignee
주식회사 위드네트웍스
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 위드네트웍스 filed Critical 주식회사 위드네트웍스
Priority to KR1020160121605A priority Critical patent/KR101883713B1/ko
Priority to US16/327,510 priority patent/US20190171826A1/en
Priority to JP2018559737A priority patent/JP2019531519A/ja
Priority to PCT/KR2017/009512 priority patent/WO2018056601A1/ko
Publication of KR20180032409A publication Critical patent/KR20180032409A/ko
Application granted granted Critical
Publication of KR101883713B1 publication Critical patent/KR101883713B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2139Recurrent verification

Abstract

본 발명은 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치에 관한 것으로, 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 확인하고, 상기 프로그램의 부모 프로세스가 신뢰할 수 있는 프로그램인지를 확인하여, 상기 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 접근 허용 프로그램 확인부; 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부; 및 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 허용하고, 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어부;를 포함한다.

Description

콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 {APPARATUS AND METHOD FOR BLOCKING RANSOME WARE USING ACCESS CONTROL TO THE CONTENTS FILE}
본 발명은 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 그 방법에 관한 것이다.
랜섬웨어란 악성코드(malware)의 일종으로, 사용자의 동의 없이 사용자 컴퓨터에 불법으로 설치되어 사용자의 파일을 암호화해서 사용이 불가능 하게 만들어, 암호를 해독하기 위한 비밀번호를 알려주는 대가로 금전적인 요구를 하는 악성 프로그램을 말한다.
랜섬웨어가 공격자의 주요 수익원이 되면서 유포 방식과 파일 형태도 다양해지고 있으며, 랜섬웨어 공격에 대한 피해가 점차 커지고 있다. 따라서 이에 대한 방어 기술이 필요하게 되었다.
이러한 문제점을 해결하기 위하여 시그니처(Signature) 기반 탐지, 행위기반 탐지, 디코이 기반 탐지, 파일 백업 기반 방어 등의 랜섬웨어를 방어하기 위한 다양한 탐지 장치 및 방법이 사용되고 있다.
기존 보안 솔루션들이 사용하는 위와 같은 기술들은 바이러스, 트로이 목마와 같은 악성프로그램을 탐지하기 위한 기술들이며 암호화 자체를 막을 수 없는 문제점이 있다.
본 발명에 의한 랜섬웨어 차단 장치 및 차단 방법에 의하여 사용자 콘텐츠 파일에 대한 무단암호화를 탐지하여 차단하고자 한다.
또한, 랜섬웨어만을 구분하여 탐지 및 차단하지 않고 범위를 더 넓혀 콘텐츠 파일에 대한 수정 권한이 없는 프로그램이 콘텐츠 파일에 무작위 접근을 할 때 제어하는 장치 및 방법을 제공하고자 한다.
본 발명에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치는 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 확인하고, 상기 프로그램의 부모 프로세스가 신뢰할 수 있는 프로그램인지를 확인하여, 상기 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 접근 허용 프로그램 확인부; 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부; 및 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 허용하고, 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어부;를 포함한다.
상기 접근 허용 프로그램 확인부는 프로세스 시작 감지부, 신뢰 프로그램 확인부, 프로세스 트리 추적부 및 콘텐츠 파일 접근 허용 정보 저장부를 포함한다.
상기 프로세스 시작 감지부는 사용자 컴퓨터에서 프로세스가 시작되는 것을 감지한다.
상기 신뢰 프로그램 확인부는 상기 프로세스 시작 감지부에서 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다.
상기 신뢰할 수 있는 프로그램은 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나이다.
상기 프로세스 트리 추적부는 상기 프로세스의 프로그램에 대한 부모 프로세스 경로 정보를 얻는다.
상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하고, 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다.
상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하는 단계를 반복하여 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다.
상기 콘텐츠 파일 접근 제어부는 파일 접근 감지부, 화이트 리스트 확인부, 콘텐츠 파일 접근 허용 정보 확인부 및 프로세스 차단부를 포함한다.
상기 파일 접근 감지부는 상기 프로세스가 상기 콘텐츠 파일에 접근하여 수정하려고 시도하려는 것을 감지한다.
상기 화이트 리스트 확인부는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 파일인지를 확인한다.
상기 콘텐츠 파일 접근 허용 정보 확인부는 상기 프로세스의 프로그램이 상기 콘텐츠 파일 접근 허용 정보 저장부에 저장된 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인한다.
상기 프로세스 차단부는 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되지 않은 프로그램일 경우에, 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단한다.
본 발명에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법은 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계; 및 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에, 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함하고, 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계는, 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계; 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하고, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하고, 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 것을 포함하는 부모 프로세스 정보 확인 단계; 및 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 저장하는 단계;를 포함한다.
상기 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계는, 상기 프로그램이 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나인지를 판단한다.
상기 부모 프로세스 정보 확인 단계는, 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하는 단계, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계, 및 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 반복하여, 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 포함한다.
상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계는, 상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계; 상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일인지 를 확인하는 단계; 상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일로 판단되면, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인하는 단계; 및 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아니면 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함한다.
상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계는, 상기 사용자 컴퓨터의 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지한다.
본 발명에 의하면, 사용자 파일에 대한 무단암호화를 탐지 및 차단할 수 있는 장치 및 방법을 제공할 수 있으며, 또한 콘텐츠 파일에 대한 수정 권한이 없는 프로그램이 콘텐츠 파일에 무작위 접근 할 때 이를 제어하는 장치 및 방법을 제공할 수 있는 효과가 있다.
이하, 본 발명의 실시예가 제공한 기술방안을 보다 명확히 해석하기 위하여, 실시예에 대한 설명에 필요한 도면을 간략하게 소개한다. 이하에서 설명하는 도면은 본 발명의 모든 실시예이며, 본 기술분야의 통상의 지식을 가진 자는 진보성 창출에 힘쓰지 않는 전제하에 이러한 도면에 의하여 진일보로 다른 도면을 얻을 수 있는 것은 물론이다.
도 1은 본 발명의 일 실시예에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치의 세부적인 블럭도이다.
도 2a는 윈도우 상에서 사용자가 사용자 컴퓨터에 설치한 프로그램을 나타내는 예시도이고, 도 2b는 사용자 컴퓨터에 기본설치되는 프로그램을 나타내는 예시도이다.
도 3은 프로세스 트리를 이용하여 부모 프로세스 경로를 얻는 과정을 나타낸 도면이다.
도 4는 본 발명에 따른 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법(S100)을 나타내는 흐름도이다.
도 5는 본 발명에 따른 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근하는 것을 허용하는 방법(S200)을 나타내는 흐름도이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 수 있으며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하고, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다.
본 발명의 실시예들을 설명함에 있어서 공지 기능 또는 구성에 대한 구체적인 설명이 본 발명의 요지를 불필요하게 흐릴 수 있다고 판단되는 경우에는 그 상세한 설명을 생략할 것이다. 그리고 후술되는 용어들은 본 발명의 실시예에서의 기능을 고려하여 정의된 용어들로서 이는 사용자, 운용자의 의도 또는 관례 등에 따라 달라질 수 있다. 그러므로 그 정의는 본 명세서 전반에 걸친 내용을 토대로 내려져야 할 것이다.
먼저, 본 발명에서 사용되는 기술용어인 콘텐츠 파일에 대하여 정의한다. 콘텐츠 파일이란 사용자 컴퓨터에서 사용자가 필요한 정보를 저장한 파일, 예를 들어 .xls, .doc, .pdf, .jpg, avi, .rar, .zip, .mp4, .png, .psd, .hwp, .java, js 등을 말한다. 상기 콘텐츠 파일은 사용자 컴퓨터에 내장된 로컬(local) 저장 공간에 저장되어 있을 수도 있고, 상기 사용자 컴퓨터에 탈착이 가능한 외장 메모리 카드에 저장되어 있을 수도 있다. 상기 외장 메모리 카드는 SD(Secure Digital)카드, 멀티미디어 카드(Multi Media Card; MMC), 컴팩트 플래시(Compact Flash: CF) 카드, 마이크로 드라이브(Micro Drive), 메모리 스틱(Memory Stick), 스마트 미디어(Smart Media) 카드, xD 픽처(Extreme Digital Picture) 카드 중 하나일 수 있다. 또한, USB(Universal Serial Bus) 메모리, SSD(Soli State Drive)에 저장되어 있을 수 있다. 나아가, 상기 사용자 컴퓨터 외부에 형성되는 클라우드 서비스를 이용한 외부 저장 공간에 저장된 파일일 수도 있다.
이와 같은 콘텐츠 파일은 사용자에게 필요한 정보가 저장되어 있으므로, 콘텐츠 파일에 대한 랜섬웨어의 접근을 차단할 필요가 있다.
이하 본 발명의 랜섬웨어를 차단하기 위한 장치 및 방법을 설명한다.
도 1은 본 발명의 일 실시예에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치의 세부적인 블럭도이다.
도 1을 참조하면, 본 발명의 일 실시예에 의한 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치(100)는 사용자 컴퓨터의 콘텐츠 파일에 랜섬웨어가 접근하여 수정하려는 경우에 이를 차단하기 위한 장치로서, 접근 허용 프로그램 확인부(10), 화이트 리스트 등록부(20) 및 콘텐츠 파일 접근 제어부(30)를 포함한다. 여기서 상기 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치(100)는 그 외 다른 기기와의 연결을 위한 인터페이스부 또는 소정의 네트워크 통신부를 더 포함할 수 있다.
상기 사용자 컴퓨터는 데스크 탑 컴퓨터, 스마트 폰, 태블릿 컴퓨터 등을 포함할 수 있다. 또한, 상기 사용자 컴퓨터는 운영체제(Operation System; OS)를 기반으로 다양한 프로그램을 실행할 수 있으며, 상기 운영체제는 Windows XP, Windows 7, Windows 8, Windows 10 등을 포함하는 Microsoft사의 운영체제를 모두 포함할 수 있다.
먼저, 상기 접근 허용 프로그램 확인부(10)는 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하고 분류한다. 이와 같은 판단 및 분류를 위하여 접근 허용 프로그램 확인부(10)는 프로세스 시작 감지부(11), 신뢰 프로그램 확인부(12), 프로세스 트리 추적부(13), 콘텐츠 파일 접근 허용 정보 저장부(14)를 포함한다.
상기 프로세스 시작 감지부(11)는 사용자 컴퓨터에서 특정 프로세스가 시작되는 것을 감지한다. 상기 프로세스는 상기 사용자 컴퓨터에서 프로그램이 실행되는 것이다.
상기 신뢰 프로그램 확인부(12)는 상기 프로세스 시작 감지부(11)에서 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다. 여기서 신뢰할 수 있는 프로그램이란 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나이다.
도 2a는 윈도우 상에서 사용자가 사용자 컴퓨터에 설치한 프로그램을 나타내는 예시도이고, 도 2b는 사용자 컴퓨터에 기본설치되는 프로그램을 나타내는 예시도이다.
도 2a를 참조하면, 사용자가 사용자 컴퓨터에 설치한 프로그램이 Windows//Programe Files 하부 목록에 개시되어 있다.
또한, 도 2b를 참조하면, 사용자 컴퓨터에 기본설치되는 프로그램으로 Windows 하부에 bfsvc.exe, explorer.exe, HelpPane.exe, hh.exe, IERegBack.exe, ImageSAFERSvc.exe, notepad.exe 등 다양한 프로그램이 개시되어 있다.
상기 프로세스 트리 추적부(13)는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 프로그램에 대한 부모 프로세스 경로 정보를 얻는다. 상기 부모 프로세스 경로 정보는 프로세스 트리를 추적하여 파악할 수 있다.
상기 프로세스 트리 추적부(13)는 이후 상기 부모 프로세스가 신뢰할 수 있는 프로그램인 경우에 그것이 최종적으로 Explorer.exe 또는 Services.exe인지 여부를 판단한다.
도 3은 프로세스 트리를 이용하여 부모 프로세스 경로를 얻는 과정을 나타낸 도면이다.
도 3을 참조하면, 상기 프로세스의 프로그램이 notepad.exe인 경우에 notepad.exe의 프로세스 ID와 부모 프로세스 ID를 구하고(①), 부모 프로세스 ID를 추적하여 부모 프로세스를 확인한다(②). 도 3의 실시예에서는 explorer.exe가 부모 프로세스의 프로그램임을 알 수 있다.
상기 콘텐츠 파일 접근 허용 정보 저장부(14)는 상기 부모 프로세스의 프로그램이 최종적으로 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다. 또한 상기 프로세스의 프로그램이 신뢰할 수 없는 프로그램인 경우와, 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에도 상기 프로세스의 프로그램에 대한 부모 프로세스가 신뢰할 수 없는 프로그램인 경우에는 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근 권한이 없는 프로그램으로 저장한다.
도 3의 실시예에서는 상기 부모 프로세스의 프로그램이 최종적으로 Explorer.exe 이므로, 상기 notepad.exe를 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장한다.
상기 화이트 리스트 등록부(20)는 보호하고자 하는 콘텐츠 파일 정보를 화이트 리스트(white list)로 등록한다.
상기 화이트 리스트 등록부(20)에는 콘텐츠 파일의 확장자를 등록할 수 있으며, 또한 개별적인 파일을 등록할 수도 있다.
상기 콘텐츠 파일 접근 제어부(30)는 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에는 콘텐츠 파일에 대한 접근을 허용하고, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 콘텐츠 파일에 접근하여 수정하는 것을 차단한다. 상기 콘텐츠 파일 접근 제어부(30)는 파일 접근 감지부(31), 화이트 리스트 확인부(32), 콘텐츠 파일 접근 허용 정보 확인부(33) 및 프로세스 차단부(34)를 포함한다.
상기 파일 접근 감지부(31)는 상기 프로세스가 상기 콘텐츠 파일에 접근하여 상기 콘텐츠 파일을 수정하려고 시도하려는 것을 감지한다. 구체적으로 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지할 수 있다.
상기 화이트 리스트 확인부(32)는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부(20)에 등록된 파일인지 여부를 확인한다.
이때 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부(20)에 등록되지 않은 파일인 경우에는 상기 프로세스가 상기 사용자 컴퓨터에 저장된 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하는 것을 허용할 수 있다.
상기 콘텐츠 파일 접근 허용 정보 확인부(33)는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부(20)에 등록된 콘텐츠 파일인 경우에 상기 프로세스의 프로그램이 상기 콘텐츠 파일 접근 허용 정보 저장부(14)에 저장된 콘텐츠 파일에 접근이 허용되는 프로그램인지 여부를 확인한다.
상기 프로세스 차단부(34)는 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되지 않은 프로그램이면 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 차단하고 상기 프로세스를 종료하고, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이면 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 허용한다.
본 발명의 일 실시예에 의한 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치(100)는 세부적인 블럭으로 구분되어 있으나, 하나로 통합되거나 다양한 형태로 분류될 수 있다.
이와 같은 장치에 의하여 콘텐츠 파일에 대한 수정 권한이 없는 프로세스가 콘텐츠 파일에 무작위 접근을 할 때 이를 차단하면 랜섬웨어을 차단할 수 있으며, 그에 따라 랜섬웨어에 의한 피해를 줄일 수 있는 효과가 있다.
이하 본 발명에 따른 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법을 도 4 및 도 5을 참조하여 설명한다.
먼저, 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법에 대하여 설명한다.
도 4는 본 발명에 따른 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법(S100)을 나타내는 흐름도이다.
도 4를 참조하면, 먼저 사용자 컴퓨터에서 프로세스가 시작되는 것을 감지한다(S101).
이후 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다(S102). 여기서 신뢰할 수 있는 프로그램이란 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나이다.
여기서, 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에는 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득한다(S103).
이후 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다(S104).
상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에는 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 여부를 판단한다(S105).
상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에는 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 저장한다(S106).
만약 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe이 아닌 경우에는 다시 상기 부모 프로세스의 프로그램에 대한 상위 부모 프로세스 정보를 얻는다(S103). 이후 다시 상기 상위 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단한다(S104). 이와 같은 과정은 상기 부모 프로세스의 부모 프로세스가 Explorer.exe 또는 Services.exe인 경우까지 계속하여 반복한다.
따라서 최종적으로 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에, 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 정보를 저장한다(S106).
만약 시작이 감지된 프로세스의 프로그램이 신뢰할 수 없는 프로그램인 경우에는 콘텐츠 파일에 대한 접근 권한이 없는 것으로 판단한다(S107). 또한 상기 부모 프로세스가 신뢰할 수 없는 프로그램인 경우에도 콘텐츠 파일에 대한 접근 권한이 없는 것으로 판단한다(S107).
이와 같은 단계를 거쳐 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단할 수 있다.
도 5는 본 발명에 따른 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근하는 것을 허용하는 방법(S200)을 나타내는 흐름도이다.
도 5를 참조하면, 특정 프로세스가 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지한다(S201). 구체적으로 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지할 수 있다.
이후 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 저장된 콘텐츠 파일인지 여부를 확인한다(S202).
이때 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록되지 않은 콘텐츠 파일인 경우에는 상기 프로세스가 상기 사용자 컴퓨터에 저장된 콘텐츠 파일에 접근 및 파일을 수정하는 것을 허용할 수 있다(S204).
상기 프로세스가 수정하려고 시도하는 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일로 판단되면, 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 방법(S100)에 의하여 판단된 콘텐츠 파일 접근 허용 프로그램인지 여부를 확인한다(S203).
이때 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이면, 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 허용하고(S204), 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아니면, 상기 프로세스의 상기 콘텐츠 파일에 대한 접근을 차단하고 프로세스를 종료한다(S205).
이와 같은 단계를 거쳐 사용자 컴퓨터에서 사용되는 프로그램이 콘텐츠 파일에 접근을 허용 또는 차단할 수 있다.
이와 같이 프로세스가 시작되면 콘텐츠 파일에 접근하려는 프로그램의 정보 및 그 부모 프로세스 정보를 추적하고 파악하여 상기 프로세스의 콘텐츠 파일에 대한 접근을 허용 및 차단함으로써, 랜섬웨어에 의한 콘텐츠 파일의 피해를 방지할 수 있으며, 또한 랜섬웨어만을 구분하여 탐지 및 차단하지 않고 범위를 더 넓혀 콘텐츠 파일에 대한 수정 권한이 없는 프로그램의 콘텐츠 파일에 대한 무작위 접근을 제어할 수 있는 효과가 있다.
이와 같은 콘텐츠 파일 접근 제어 기술을 사용하면 사용자가 직접 문서파일을 열어 수정하는 것인지, 비합법적인 프로그램이 파일을 열어 수정하는 것인지 구분이 가능하게 된다. 따라서 랜섬웨어가 어떤식으로 동작하던지, 랜섬웨어의 유입경로 및 형태에 상관없이, 랜섬웨어가 수정권한을 가지고 사용자의 콘텐츠 파일에 접근했을 경우에 랜섬웨어를 즉시 차단할 수 있으며, 사용자 컴퓨터의 보안성을 비약적으로 상승시킬 수 있는 효과가 있다.
위에서 언급한 것은 단지 본 발명의 바람직한 실시 예일 뿐 본 발명을 한정하기 위한 것이 아니다. 본 발명의 정신과 원리의 범주 내에서 진행하는 모든 수정, 등가적 대체와 개선은 모두 본 발명의 보호범위 내에 속해야 할 것이다.
100 : 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치
10 : 접근 허용 프로그램 확인부
20 : 화이트 리스트 등록부
30 : 콘텐츠 파일 접근 제어부
11 : 프로세스 시작 감지부
12 : 신뢰 프로그램 확인부
13 : 프로세스 트리 추적부
14 : 콘텐츠 파일 접근 허용 정보 저장부
31 : 파일 접근 감지부
32 : 화이트 리스트 확인부
33 : 콘텐츠 파일 접근 허용 정보 확인부
34 : 프로세스 차단부

Claims (18)

  1. 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 확인하고, 상기 프로그램의 부모 프로세스가 신뢰할 수 있는 프로그램인지를 확인하여, 상기 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 접근 허용 프로그램 확인부;
    보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부; 및
    상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램인 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 허용하고, 상기 프로세스의 프로그램이 상기 접근 허용 프로그램 확인부에서 판단한 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어부;를 포함하고,
    상기 접근 허용 프로그램 확인부는 프로세스 시작 감지부, 신뢰 프로그램 확인부, 프로세스 트리 추적부 및 콘텐츠 파일 접근 허용 정보 저장부를 포함하고,
    상기 신뢰 프로그램 확인부는 상기 프로세스 시작 감지부에서 감지된 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지 여부를 판단하고,
    상기 신뢰할 수 있는 프로그램은 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나인 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  2. 삭제
  3. 제1항에 있어서,
    상기 프로세스 시작 감지부는 사용자 컴퓨터에서 프로세스가 시작되는 것을 감지하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  4. 삭제
  5. 삭제
  6. 제1항에 있어서,
    상기 프로세스 트리 추적부는 상기 프로세스의 프로그램에 대한 부모 프로세스 경로 정보를 얻는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  7. 제6항에 있어서,
    상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하고, 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  8. 제7항에 있어서,
    상기 콘텐츠 파일 접근 허용 정보 저장부는 상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에, 상기 프로그램에 대한 부모 프로세스 경로 정보를 획득하여 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램이면 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지 판단하는 단계를 반복하여 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 상기 콘텐츠 파일에 접근이 허용되는 프로그램으로 저장하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  9. 제1항에 있어서,
    상기 콘텐츠 파일 접근 제어부는 파일 접근 감지부, 화이트 리스트 확인부, 콘텐츠 파일 접근 허용 정보 확인부 및 프로세스 차단부를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  10. 제9항에 있어서,
    상기 파일 접근 감지부는 상기 프로세스가 상기 콘텐츠 파일에 접근하여 수정하려고 시도하려는 것을 감지하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  11. 제10항에 있어서,
    상기 화이트 리스트 확인부는 상기 프로세스가 수정하려고 시도하는 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 파일인지를 확인하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  12. 제9항에 있어서,
    상기 콘텐츠 파일 접근 허용 정보 확인부는 상기 프로세스의 프로그램이 상기 콘텐츠 파일 접근 허용 정보 저장부에 저장된 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  13. 제9항에 있어서,
    상기 프로세스 차단부는 상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되지 않은 프로그램일 경우에, 상기 프로세스가 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 접근하는 것을 차단하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치.
  14. 사용자 컴퓨터에서 시작이 감지된 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계; 및
    상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에, 보호하고자 하는 콘텐츠 파일 정보를 등록한 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함하고,
    상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램인지를 판단하는 단계는,
    상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계;
    상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하고, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하고, 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 것을 포함하는 부모 프로세스 정보 확인 단계; 및
    상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인 경우에 상기 프로세스의 프로그램을 콘텐츠 파일 접근 허용 프로그램으로 저장하는 단계;를 포함하고,
    상기 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계는, 상기 프로그램이 사용자가 사용자 컴퓨터에 설치한 프로그램 또는 사용자 컴퓨터에 기본설치되는 프로그램 중 어느 하나인지를 판단하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
  15. 삭제
  16. 제14항에 있어서,
    상기 부모 프로세스 정보 확인 단계는,
    상기 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에,
    프로세스 트리를 추적하여 상기 프로세스의 프로그램에 대한 부모 프로세스 정보를 획득하는 단계, 획득된 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인지를 판단하는 단계, 및 상기 부모 프로세스의 프로그램이 신뢰할 수 있는 프로그램인 경우에 상기 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 반복하여, 최종적인 부모 프로세스의 프로그램이 Explorer.exe 또는 Services.exe인지를 판단하는 단계를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
  17. 제14항에 있어서,
    상기 프로세스의 프로그램이 콘텐츠 파일에 접근이 허용되는 프로그램이 아닌 경우에 상기 화이트 리스트 등록부에 등록된 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계는,
    상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계;
    상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일인지 를 확인하는 단계;
    상기 콘텐츠 파일이 상기 화이트 리스트 등록부에 등록된 콘텐츠 파일로 판단되면, 상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램인지를 확인하는 단계;및
    상기 프로세스의 프로그램이 상기 콘텐츠 파일에 접근이 허용되는 프로그램이 아니면 상기 콘텐츠 파일에 상기 프로세스가 접근하는 것을 차단하는 단계를 포함하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
  18. 제17항에 있어서,
    상기 프로세스가 상기 콘텐츠 파일에 접근하여 콘텐츠 파일을 수정하려고 시도하려는 것을 감지하는 단계는, 상기 사용자 컴퓨터의 운영체제에 미니필터를 등록하여 파일 수정 시도를 감지하는 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 방법.
KR1020160121605A 2016-09-22 2016-09-22 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법 KR101883713B1 (ko)

Priority Applications (4)

Application Number Priority Date Filing Date Title
KR1020160121605A KR101883713B1 (ko) 2016-09-22 2016-09-22 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
US16/327,510 US20190171826A1 (en) 2016-09-22 2017-08-30 Apparatus and method for blocking ransome ware using access control to the contents file
JP2018559737A JP2019531519A (ja) 2016-09-22 2017-08-30 コンテンツファイルアクセス制御を利用したランサムウェア遮断装置および遮断方法
PCT/KR2017/009512 WO2018056601A1 (ko) 2016-09-22 2017-08-30 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020160121605A KR101883713B1 (ko) 2016-09-22 2016-09-22 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

Publications (2)

Publication Number Publication Date
KR20180032409A KR20180032409A (ko) 2018-03-30
KR101883713B1 true KR101883713B1 (ko) 2018-07-31

Family

ID=61689605

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020160121605A KR101883713B1 (ko) 2016-09-22 2016-09-22 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법

Country Status (4)

Country Link
US (1) US20190171826A1 (ko)
JP (1) JP2019531519A (ko)
KR (1) KR101883713B1 (ko)
WO (1) WO2018056601A1 (ko)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11126718B2 (en) * 2017-07-12 2021-09-21 Acronis International Gmbh Method for decrypting data encrypted by ransomware
KR101899149B1 (ko) * 2018-04-30 2018-09-14 에스엠테크놀러지(주) 비정상 프로세스 감시 및 통제 시스템 및 방법, 상기 방법을 수행하기 위한 기록 매체
US10831916B2 (en) 2018-08-01 2020-11-10 Sogang University Research Foundation Method for blocking access of malicious application and storage device implementing the same
JP7289739B2 (ja) * 2019-06-27 2023-06-12 キヤノン株式会社 情報処理装置、情報処理方法およびプログラム
CN111209015B (zh) * 2019-10-24 2023-10-03 浙江中控技术股份有限公司 一种基于文件过滤驱动实现安装跟踪的方法
CN111125721B (zh) * 2019-12-31 2023-05-26 奇安信科技集团股份有限公司 一种进程启动的控制方法、计算机设备和可读存储介质
US20210294910A1 (en) * 2020-03-18 2021-09-23 Veritas Technologies Llc Systems and methods for protecting a folder from unauthorized file modification
KR102254283B1 (ko) * 2020-11-12 2021-05-21 주식회사 시큐브 멀티프로세스 클러스터링 기반 랜섬웨어 공격 탐지 장치, 방법 및 그 방법을 실현하기 위한 프로그램을 기록한 기록매체
KR102431638B1 (ko) * 2020-11-19 2022-08-10 정경수 인공 신경망에 기반한 악성 데이터 분류 모델을 활용하여 분할된 파일 시스템 사이의 파일 접근을 제어하는 방법 및 클라우드 시스템

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010238168A (ja) * 2009-03-31 2010-10-21 Fujitsu Ltd 実行制御プログラムおよび情報処理システム
KR101585342B1 (ko) * 2014-09-30 2016-01-14 한국전력공사 이상행위 탐지 장치 및 방법
JP2016099857A (ja) 2014-11-25 2016-05-30 株式会社日立システムズ 不正プログラム対策システムおよび不正プログラム対策方法
JP5996145B1 (ja) * 2016-07-14 2016-09-21 三井物産セキュアディレクション株式会社 プログラム、情報処理装置、及び情報処理方法

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP4327698B2 (ja) * 2004-10-19 2009-09-09 富士通株式会社 ネットワーク型ウィルス活動検出プログラム、処理方法およびシステム
GB0513375D0 (en) * 2005-06-30 2005-08-03 Retento Ltd Computer security
KR20160019615A (ko) * 2014-08-11 2016-02-22 노틸러스효성 주식회사 화이트리스트와 블랙리스트 혼용 기반의 보안장치 및 방법
JP5933797B1 (ja) * 2015-10-07 2016-06-15 株式会社ソリトンシステムズ ログ情報生成装置及びプログラム並びにログ情報抽出装置及びプログラム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010238168A (ja) * 2009-03-31 2010-10-21 Fujitsu Ltd 実行制御プログラムおよび情報処理システム
KR101585342B1 (ko) * 2014-09-30 2016-01-14 한국전력공사 이상행위 탐지 장치 및 방법
JP2016099857A (ja) 2014-11-25 2016-05-30 株式会社日立システムズ 不正プログラム対策システムおよび不正プログラム対策方法
JP5996145B1 (ja) * 2016-07-14 2016-09-21 三井物産セキュアディレクション株式会社 プログラム、情報処理装置、及び情報処理方法

Also Published As

Publication number Publication date
JP2019531519A (ja) 2019-10-31
US20190171826A1 (en) 2019-06-06
WO2018056601A1 (ko) 2018-03-29
KR20180032409A (ko) 2018-03-30

Similar Documents

Publication Publication Date Title
KR101883713B1 (ko) 콘텐츠 파일 접근 제어를 이용한 랜섬웨어 차단 장치 및 차단 방법
EP3103056B1 (en) Methods and apparatus for protecting operating system data
US9530001B2 (en) System and method for below-operating system trapping and securing loading of code into memory
US9747443B2 (en) System and method for firmware based anti-malware security
US9392016B2 (en) System and method for below-operating system regulation and control of self-modifying code
US8621620B2 (en) System and method for protecting and securing storage devices using below-operating system trapping
US8863283B2 (en) System and method for securing access to system calls
US9087199B2 (en) System and method for providing a secured operating system execution environment
US8925089B2 (en) System and method for below-operating system modification of malicious code on an electronic device
US9262246B2 (en) System and method for securing memory and storage of an electronic device with a below-operating system security agent
US8966624B2 (en) System and method for securing an input/output path of an application against malware with a below-operating system security agent
KR101567620B1 (ko) 데이터 처리 시스템 및 방법
US20120255014A1 (en) System and method for below-operating system repair of related malware-infected threads and resources
US20120255031A1 (en) System and method for securing memory using below-operating system trapping
US20130312099A1 (en) Realtime Kernel Object Table and Type Protection
US20120254993A1 (en) System and method for virtual machine monitor based anti-malware security
KR100997802B1 (ko) 정보 단말기의 보안 관리 장치 및 방법
US20120255001A1 (en) System and method for below-operating system trapping of driver filter attachment
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
KR20140033349A (ko) 가상 머신 모니터 기반 안티 악성 소프트웨어 보안 시스템 및 방법
KR20190021673A (ko) 랜섬웨어 방지 장치 및 방법
GB2539199A (en) Apparatus and methods for transitioning between a secure area and a less-secure area
KR101349807B1 (ko) 이동식 저장매체 보안시스템 및 그 방법
WO2010151102A1 (en) Remote destroy mechanism using trusted platform module
KR101752386B1 (ko) 콘텐츠 프로그램 자동인식을 이용한 악성프로그램 차단 장치 및 차단 방법

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
E701 Decision to grant or registration of patent right
GRNT Written decision to grant