KR101995944B1 - Method for preventing randomware - Google Patents

Method for preventing randomware Download PDF

Info

Publication number
KR101995944B1
KR101995944B1 KR1020170082890A KR20170082890A KR101995944B1 KR 101995944 B1 KR101995944 B1 KR 101995944B1 KR 1020170082890 A KR1020170082890 A KR 1020170082890A KR 20170082890 A KR20170082890 A KR 20170082890A KR 101995944 B1 KR101995944 B1 KR 101995944B1
Authority
KR
South Korea
Prior art keywords
file
access
requested
security
bait
Prior art date
Application number
KR1020170082890A
Other languages
Korean (ko)
Other versions
KR20190002241A (en
Inventor
박동훈
양승용
장욱
권혁재
Original Assignee
주식회사 한류에이아이센터
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 주식회사 한류에이아이센터 filed Critical 주식회사 한류에이아이센터
Priority to KR1020170082890A priority Critical patent/KR101995944B1/en
Publication of KR20190002241A publication Critical patent/KR20190002241A/en
Application granted granted Critical
Publication of KR101995944B1 publication Critical patent/KR101995944B1/en

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/108Transfer of content, software, digital rights or licenses
    • G06F21/1082Backup or restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F2221/0782

Abstract

본 발명은 파일시스템의 안전폴더에 포함된 파일에 접근하기 위해서는 기설정된 안전탐색기를 통해서만 접근할 수 있도록 하고, 접근 요청된 파일을 인스턴트 백업하여 파일을 복구할 수 있도록 하거나 또는 접근 요청된 파일의 미끼파일을 제공하여 랜섬웨어에 감염되는지 여부를 판단함으로써, 랜섬웨어를 방지하는 방법에 관한 것이다.In order to access a file included in a security folder of a file system, the present invention can be accessed only through a preset security explorer, instant backup of a file requested to be accessed to recover a file, The present invention relates to a method for preventing random software by providing a file to determine whether or not the software is infected with the random software.

Description

랜섬웨어를 방지하는 방법{METHOD FOR PREVENTING RANDOMWARE}METHOD FOR PREVENTING RANDOMWARE

이하의 일 실시 예들은 랜섬웨어를 방지하는 방법 에 관한 것이다.One embodiment below relates to a method for preventing random software.

랜섬웨어는 일반적으로 트로이목마(trojan horse)와 같은 웜바이러스(worm) 형태로 네트워크 취약점이나 다운로드 된 파일을 통해서 전파된다. 침입한 후 여러 가지 방법으로 시스템 접근을 방해하는데, 가장 간단한 방법은 가짜 경고 공지를 표시하는 방법이다. 시스템이 불법적인 활동에 사용되었거나 불법 콘텐츠를 포함한다는 경고를, 관련 회사들이나 사법 기관으로부터 발행된 것처럼 표시하는 방식이다. 두 번째 형태는 시스템이 운영체제를 실행시키지 못하고 잠금(lock)되도록 (일반적으로 윈도우 쉘이 뜨도록) 시스템에 제한을 거는 방식이다. 마지막 방법은 가장 복잡한 형태로 파일들을 암호화하여 파일을 열지 못하도록 하는 것이다.Ransomware is typically a worm, such as a trojan horse, that spreads via network vulnerabilities or downloaded files. There are several ways to prevent system access after an intrusion, the simplest way is to display false warning notices. It is a way to mark a system as allegedly used by illegal activities or that it contains illegal content, as if it were issued by a related company or a judicial authority. The second way is to limit the system so that the system can not run the operating system and locks (usually a Windows shell). The final solution is to encrypt the files in the most complex form, preventing them from opening.

랜섬웨어는 1989년 처음 조셉 팝(Joseph Popp)에 의해 대칭형 암호방식을 사용하는 형태로 만들어졌으며, 1996년 아담 영(Adam L. Young)과 모티 융(Moti Yung)에 의해 공개키 암호방식을 사용하는 형태도 만들어졌다. 엄청난 폭리를 취한 Gpcode, TROJ.RANSOM.A, Archiveus 등의 랜섬웨어들은 2005년 이후 맹위를 떨치게 되었는데, 이들은 더욱 복잡한 암호화 방식을 취하였다.Ransomware was first created using symmetric cryptography by Joseph Popp in 1989 and by public key cryptography in 1996 by Adam L. Young and Moti Yung. The form was also made. Ransomware, such as Gpcode, TROJ.RANSOM.A, and Archiveus, which have taken a huge amount of corruption, have been raging since 2005, and they have taken a more complex cryptosystem.

암호화 방식이 더욱 복잡해짐에 따라 랜섬웨어에 감염되면, 감염된 파일을 포기하거나 몸값(Ransom)을 지불해야하는 가능성이 더욱 높아지고 있다. 따라서, 감염되지 않도록 하는 방법이 요구되고 있다.As encryption becomes more sophisticated, it becomes even more likely that Ransomware will be infected, giving up infected files and paying Ransom. Therefore, there is a need for a method for preventing infection.

본 발명은 상기와 같은 종래 기술의 문제점을 해결하고자 도출된 것으로서, 랜섬웨어를 방지하는 방법을 제공하는 것을 목적으로 한다.SUMMARY OF THE INVENTION It is an object of the present invention to provide a method for preventing random software.

구체적으로, 본 발명은 랜섬웨어를 방지하기 위해서 파일시스템의 안전폴더에 포함된 파일에 접근하기 위해서는 기설정된 안전탐색기를 통해서만 접근할 수 있도록 하여 랜섬웨어를 방지하는 방법을 제공하는 것을 목적으로 한다.More specifically, the present invention aims to provide a method for preventing a random software by accessing a file included in a security folder of a file system only through a predetermined security explorer in order to prevent random software.

또한, 본 발명은 신뢰되지 않은 프로세스가 파일시스템의 파일에 접근할 때, 파일을 인스턴트 백업하여 파일을 복구할 수 있도록 함으로써, 랜섬웨어를 방지하는 방법을 제공하는 것을 목적으로 한다.It is another object of the present invention to provide a method for preventing random software by allowing an untrusted process to instantly back up a file to recover a file when accessing the file of the file system.

또한, 본 발명은 신뢰되지 않은 프로세스가 파일시스템의 파일에 접근할 때, 미끼파일을 제공하여, 랜섬웨어에 감염되는지 여부를 판단함으로써, 랜섬웨어를 방지하는 방법을 제공하는 것을 목적으로 한다.It is also an object of the present invention to provide a method for preventing random software by providing a decoy file when an untrusted process accesses a file in a file system, thereby determining whether or not it is infected with the Ransomware.

상기와 같은 목적을 달성하기 위하여, 본 발명의 일 실시 예에 따른 랜섬웨어를 방지하는 방법은, 파일시스템의 파일에 대한 접근 요청을 수신하는 단계; 접근 요청된 파일이 안전폴더에 포함된 파일인지 확인하는 단계; 확인결과 상기 접근 요청된 파일 상기 안전폴더에 포함된 파일이면, 접근을 요청한 프로세스가 안전탐색기인지 확인하는 단계; 및 확인결과 상기 접근을 요청한 프로세스가 안전탐색기이면 상기 접근 요청된 파일로 접근을 허용하는 단계를 포함한다.According to an aspect of the present invention, there is provided a method of preventing random software in a file system, the method comprising: receiving a file system access request; Confirming that the file requested to be accessed is a file included in the secure folder; Checking whether the access requested file is a file included in the security folder or not if the process requesting access is a security explorer; And allowing access to the requested file if the process requesting the access is a security explorer.

이때, 랜섬웨어를 방지하는 방법은 상기 접근을 요청한 프로세스가 안전탐색기가 아니면 상기 접근 요청된 파일로 접근을 허용하지 않는 단계를 더 포함할 수 있다.At this time, the method for preventing the random software may further include the step of not allowing access to the file requested for access unless the process requesting the access is a safety explorer.

이때, 상기 접근 요청된 파일로 접근을 허용하는 단계는, 상기 접근 요청된 파일을 기설정된 시간동안 기설정된 저장위치에 백업하거나 또는 상기 접근 요청된 파일이 기설정 횟수 동안 접근 될 때까지 상기 기설정된 저장위치에 백업하는 단계를 포함할 수 있다.In this case, the step of allowing access to the file requested access may include: backing up the file requested to be accessed to a preset storage location for a predetermined time, or backing up the file requested to be accessed until the access requested file is accessed for a predetermined number of times Backing up to the storage location.

이때, 상기 기설정된 저장위치는 저장 장치의 일부 영역을 데이터베이스화 하여 백업을 위해 관리되는 안전 영역이고, 상기 안전 영역은 사용자에 의해서 용량이 설정될 수 있고, 백업된 파일의 저장 기간이 기설정되고, 기설정된 기간을 초과하는 백업된 파일을 삭제하도록 관리될 수 있다.At this time, the preset storage location is a safe area managed by making a database of a part of the storage device as a database, the capacity can be set by the user in the secure area, the storage period of the backed up file is preset , And can be managed to delete backup files exceeding a predetermined period.

이때, 상기 백업하는 단계는, 상기 접근 요청된 파일을 구성하는 전체 데이터 중에서 상기 접근을 요청한 프로세스로 전달하는 데이터만큼 씩 백업하는 단계를 포함할 수 있다.In this case, the step of backing up may include a step of backing up the data to be transferred to the process requesting access from the entire data constituting the access requested file.

이때, 상기 접근 요청된 파일로 접근을 허용하는 단계는, 상기 접근 요청된 파일을 복사해서 미끼 파일을 생성하는 단계; 상기 미끼 파일을 상기 접근을 요청한 프로세스로 제공하는 단계; 상기 미끼 파일이 갱신되면, 상기 미끼 파일이 랜섬웨어에 감염되었는지 확인하는 단계; 및 확인결과, 상기 미끼 파일이 랜섬웨어에 감염되었으면 사용자에게 감염되었음을 알리고 감염된 상기 미끼 파일을 삭제하는 단계를 포함할 수 있다.At this time, the step of allowing access to the access requested file includes: copying the access requested file to generate a bait file; Providing the bait file to a process requesting the access; Confirming that the bait file is infected with the Ramsomeware when the bait file is updated; And if the bait file is infected with Ransomware, it may be informed that the user is infected and delete the Bait file infected.

이때, 랜섬웨어를 방지하는 방법은, 확인결과, 상기 미끼 파일이 랜섬웨어에 감염되지 않았으면 상기 접근 요청된 파일을 상기 미끼 파일로 교체하는 단계를 더 포함할 수 있다.In this case, if the bait file is not infected with the Ramsomware, the method may include replacing the requested file with the bait file.

이때, 랜섬웨어를 방지하는 방법은, 상기 파일시스템의 파일에 대한 접근 요청을 수신하는 단계 이전에, 상기 안전탐색기와 모든 프로세스가 상기 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치하는 단계를 더 포함할 수 있다.In this case, the method for preventing the random software may further include, before the step of receiving the access request for the file of the file system, the safety search device driver which is a path for accessing the file system by the safety explorer and all processes And a step of installing the image data.

이때, 랜섬웨어를 방지하는 방법은, 모니터링 프로세스에서 상기 안전탐색용 디바이스 드라이버가 설치된 상태인지를 감지하고, 상기 안전탐색용 디바이스 드라이버가 설치된 상태가 아니면, 상기 안전탐색용 디바이스 드라이버를 재 설치하는 단계를 더 포함할 수 있다.In this case, the method for preventing the random software may include detecting whether the device driver for safety search is installed in the monitoring process, and reinstalling the device driver for safety search if the device driver for safety search is not installed As shown in FIG.

이때, 랜섬웨어를 방지하는 방법은, 상기 모니터링 프로세스에서 기설정된 시간 간격으로 상기 파일시스템에 저장된 파일로의 접근을 시도하는 단계; 및 상기 안전탐색용 디바이스 드라이버에서 상기 기설정된 시간 간격을 경과한 이후에도 상기 파일시스템에 저장된 파일로의 접근이 발생하지 않으면, 상기 모니터링 프로세스가 정지한 것으로 판단하고, 상기 파일 시스템으로의 접근을 차단하는 단계를 더 포함할 수 있다.At this time, a method for preventing random software may include: attempting to access a file stored in the file system at a predetermined time interval in the monitoring process; And if the access to the file stored in the file system does not occur even after the predetermined time interval elapses in the device driver for searching for safety, it is determined that the monitoring process is stopped, and access to the file system is blocked Step < / RTI >

이때, 랜섬웨어를 방지하는 방법은, 상기 접근 요청된 파일이 운영체제의 부트 영역에 포함된 파일이면, 상기 접근 요청을 차단하는 단계를 더 포함할 수 있다.The method may further include blocking the access request if the access requested file is a file included in a boot area of the operating system.

이때, 상기 접근 요청된 파일로 접근을 허용하는 단계는, 상기 안전탐색기를 설치할 때 기설정된 패스워드를 요청하는 단계; 및 정당하지 않은 패스워드가 입력되면 상기 접근 요청된 파일로 접근을 차단하고, 정당한 패스워드를 입력되면 상기 접근 요청된 파일로 접근을 허용하는 단계를 포함할 수 있다.In this case, the step of allowing access to the file requested access includes: requesting a predetermined password when installing the security explorer; And blocking access to the file requested to be accessed when an unauthorized password is input, and allowing access to the file requested to be accessed when a valid password is input.

본 발명의 다른 일 실시 예에 따른 랜섬웨어를 방지하는 방법은, 파일시스템의 파일에 대한 접근 요청을 수신하는 단계; 상기 파일에 대한 접근을 요청한 프로세스가 신뢰된 프로세스인지 확인하는 단계; 및 확인결과 상기 접근을 요청한 프로세스가 신뢰된 프로세스가 아니면, 상기 접근 요청된 파일을 기설정된 시간동안 기설정된 저장위치에 백업하거나 또는 상기 접근 요청된 파일이 기설정 횟수 동안 접근 될 때까지 상기 기설정된 저장위치에 백업하는 단계를 포함한다.According to another embodiment of the present invention, there is provided a method for preventing random software, comprising: receiving an access request for a file in a file system; Confirming that the process requesting access to the file is a trusted process; And if the process requesting the access is not a trusted process, the file requested to be accessed is backed up to a preset storage location for a predetermined time, or the file requested for access is backed up for a predetermined number of times, Backing up to the storage location.

이때, 랜섬웨어를 방지하는 방법은, 프로세스가 접근해서 백업된 파일이 복구되지 않고 삭제되는 횟수가 기설정된 기간 내에 기설정된 횟수 이상 발생하면, 상기 프로세스를 신뢰된 프로세스로 분류하는 단계를 더 포함할 수 있다.In this case, the method for preventing random software further includes classifying the process as a trusted process when the number of times that a file accessed and backed up is not recovered and deleted is more than a predetermined number of times within a predetermined period .

이때, 상기 백업하는 단계는, 상기 접근 요청된 파일을 구성하는 전체 데이터 중에서 상기 접근을 요청한 프로세스로 전달하는 데이터만큼 씩 백업하는 단계를 포함할 수 있다.In this case, the step of backing up may include a step of backing up the data to be transferred to the process requesting access from the entire data constituting the access requested file.

본 발명의 또 다른 일 실시 예에 따른 랜섬웨어를 방지하는 방법은, 파일시스템의 파일에 대한 접근 요청을 수신하는 단계; 상기 파일에 대한 접근을 요청한 프로세스가 신뢰된 프로세스인지 확인하는 단계; 및 확인결과 상기 접근을 요청한 프로세스가 신뢰된 프로세스가 아니면, 상기 접근 요청된 파일을 복사해서 미끼 파일을 생성하는 단계; 상기 미끼 파일을 상기 접근을 요청한 프로세스로 제공하는 단계; 상기 미끼 파일이 갱신되면, 상기 미끼 파일이 랜섬웨어에 감염되었는지 확인하는 단계; 및 확인결과, 상기 미끼 파일이 랜섬웨어에 감염되었으면 사용자에게 감염되었음을 알리고 감염된 상기 미끼 파일을 삭제하는 단계를 포함한다.According to another embodiment of the present invention, there is provided a method of preventing random software, comprising: receiving a request for access to a file of a file system; Confirming that the process requesting access to the file is a trusted process; And if the process requesting the access is not a trusted process, copying the access requested file to generate a bait file; Providing the bait file to a process requesting the access; Confirming that the bait file is infected with the Ramsomeware when the bait file is updated; And if the bait file is infected with Ransomware, it is notified that the bait file is infected to the user and the infected bait file is deleted.

이때, 랜섬웨어를 방지하는 방법은, 프로세스가 접근해서 갱신된 미끼 파일이 랜섬웨어에 감염되지 않음으로 판단되는 경우가 기설정된 기간 내에 기설정된 횟수 이상 발생하면, 상기 프로세스를 신뢰된 프로세스로 분류하는 단계를 더 포함할 수 있다.At this time, when the process determines that the decrypted bait file is not infected with the random software, the process is classified as a trusted process if the process occurs more than a predetermined number of times within a predetermined period Step < / RTI >

이때, 랜섬웨어를 방지하는 방법은, 확인결과, 상기 미끼 파일이 랜섬웨어에 감염되지 않았으면 상기 접근 요청된 파일을 상기 미끼 파일로 교체하는 단계를 더 포함할 수 있다.In this case, if the bait file is not infected with the Ramsomware, the method may include replacing the requested file with the bait file.

본 발명은 파일시스템의 안전폴더에 포함된 파일에 접근하기 위해서는 기설정된 안전탐색기를 통해서만 접근할 수 있도록 하고, 접근 요청된 파일을 인스턴트 백업하여 파일을 복구할 수 있도록 하거나 또는 접근 요청된 파일의 미끼파일을 제공하여 랜섬웨어에 감염되는지 여부를 판단함으로써, 랜섬웨어를 방지하는 할 수 있다.In order to access a file included in a security folder of a file system, the present invention can be accessed only through a preset security explorer, instant backup of a file requested to be accessed to recover a file, By providing a file to determine whether or not it is infected with Ransomware, Ransomware can be prevented.

도 1은 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기를 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.
도 2는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기와 인스턴트 백업과 패스워드를 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.
도 3은 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기와 인스턴트 백업을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.
도 4는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기와 미끼 파일을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.
도 5는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전탐색용 디바이스 드라이버의 무력화를 방지하기 위한 과정을 도시한 흐름도이다.
도 6은 본 발명의 다른 실시 예에 따른 랜섬웨어 방지 장치에서 인스턴트 백업을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.
도 7은 본 발명의 또 다른 실시 예에 따른 랜섬웨어 방지 장치에서 미끼파일을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.
도 8은 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전탐색기를 이용해서 안전폴더를 설정하는 예를 도시한 도면이다.
도 9는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치의 개략적인 구성을 도시한 도면이다.FIG. 1 is a flowchart illustrating a process of preventing random software using a security explorer in a random access protection apparatus according to an exemplary embodiment of the present invention. Referring to FIG.
FIG. 2 is a flowchart illustrating a procedure for preventing Ransomware using a security explorer, an instant backup, and a password in an Ransomware protection apparatus according to an exemplary embodiment of the present invention.
FIG. 3 is a flowchart illustrating a procedure for preventing Ransomware using the security explorer and instant backup in the Ransomware protection apparatus according to an embodiment of the present invention.
FIG. 4 is a flowchart illustrating a process for preventing Ransomware using a security explorer and a bait file in a Ransomware prevention apparatus according to an exemplary embodiment of the present invention. Referring to FIG.
FIG. 5 is a flowchart illustrating a process for preventing the disabling of the device driver for safety search in the random access protection device according to the embodiment of the present invention.
FIG. 6 is a flowchart illustrating a procedure for preventing Ransomware using instant backup in the Ransomware prevention apparatus according to another embodiment of the present invention.
FIG. 7 is a flowchart illustrating a process for preventing Ransomware using a bait file in a Ransomware prevention apparatus according to another embodiment of the present invention.
FIG. 8 is a diagram illustrating an example of setting a security folder using a security explorer in an anti-threat agent according to an exemplary embodiment of the present invention.
FIG. 9 is a diagram showing a schematic configuration of an anti-random software device according to an embodiment of the present invention.

본 명세서에 개시되어 있는 본 발명의 개념에 따른 실시 예들에 대해서 특정한 구조적 또는 기능적 설명들은 단지 본 발명의 개념에 따른 실시 예들을 설명하기 위한 목적으로 예시된 것으로서, 본 발명의 개념에 따른 실시 예들은 다양한 형태로 실시될 수 있으며 본 명세서에 설명된 실시 예들에 한정되지 않는다.It is to be understood that the specific structural or functional descriptions of embodiments of the present invention disclosed herein are only for the purpose of illustrating embodiments of the inventive concept, But may be embodied in many different forms and should not be construed as limited to the embodiments set forth herein.

본 발명의 개념에 따른 실시 예들은 다양한 변경들을 가할 수 있고 여러 가지 형태들을 가질 수 있으므로 실시 예들을 도면에 예시하고 본 명세서에 상세하게 설명하고자 한다. 그러나, 이는 본 발명의 개념에 따른 실시 예들을 특정한 개시형태들에 대해 한정하려는 것이 아니며, 본 발명의 사상 및 기술 범위에 포함되는 변경, 균등물, 또는 대체물을 포함한다.Embodiments in accordance with the concepts of the present invention are capable of various modifications and may take various forms, so that the embodiments are illustrated in the drawings and described in detail herein. However, it is not intended to limit the embodiments according to the concepts of the present invention to the specific disclosure forms, but includes changes, equivalents, or alternatives falling within the spirit and scope of the present invention.

제1 또는 제2 등의 용어를 다양한 구성요소들을 설명하는데 사용될 수 있지만, 상기 구성요소들은 상기 용어들에 의해 한정되어서는 안 된다. 상기 용어들은 하나의 구성요소를 다른 구성요소로부터 구별하는 목적으로만, 예를 들어 본 발명의 개념에 따른 권리 범위로부터 이탈되지 않은 채, 제1 구성요소는 제2 구성요소로 명명될 수 있고, 유사하게 제2 구성요소는 제1 구성요소로도 명명될 수 있다.The terms first, second, or the like may be used to describe various elements, but the elements should not be limited by the terms. The terms may be named for the purpose of distinguishing one element from another, for example without departing from the scope of the right according to the concept of the present invention, the first element being referred to as the second element, Similarly, the second component may also be referred to as the first component.

어떤 구성요소가 다른 구성요소에 "연결되어" 있다거나 "접속되어" 있다고 언급된 때에는, 그 다른 구성요소에 직접적으로 연결되어 있거나 또는 접속되어 있을 수도 있지만, 중간에 다른 구성요소가 존재할 수도 있다고 이해되어야 할 것이다. 반면에, 어떤 구성요소가 다른 구성요소에 "직접 연결되어" 있다거나 "직접 접속되어" 있다고 언급된 때에는, 중간에 다른 구성요소가 존재하지 않는 것으로 이해되어야 할 것이다. 구성요소들 간의 관계를 설명하는 표현들, 예를 들어 "~사이에"와 "바로~사이에" 또는 "~에 직접 이웃하는" 등도 마찬가지로 해석되어야 한다.It is to be understood that when an element is referred to as being "connected" or "connected" to another element, it may be directly connected or connected to the other element, . On the other hand, when an element is referred to as being "directly connected" or "directly connected" to another element, it should be understood that there are no other elements in between. Expressions that describe the relationship between components, for example, "between" and "immediately" or "directly adjacent to" should be interpreted as well.

본 명세서에서 사용한 용어는 단지 특정한 실시 예들을 설명하기 위해 사용된 것으로, 본 발명을 한정하려는 의도가 아니다. 단수의 표현은 문맥상 명백하게 다르게 뜻하지 않는 한, 복수의 표현을 포함한다. 본 명세서에서, "포함하다" 또는 "가지다" 등의 용어는 실시된 특징, 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것이 존재함으로 지정하려는 것이지, 하나 또는 그 이상의 다른 특징들이나 숫자, 단계, 동작, 구성요소, 부분품 또는 이들을 조합한 것들의 존재 또는 부가 가능성을 미리 배제하지 않는 것으로 이해되어야 한다.The terminology used herein is for the purpose of describing particular embodiments only and is not intended to be limiting of the invention. The singular expressions include plural expressions unless the context clearly dictates otherwise. In this specification, the terms "comprises ", or" having ", and the like, are used to specify one or more other features, numbers, steps, operations, elements, But do not preclude the presence or addition of steps, operations, elements, parts, or combinations thereof.

다르게 정의되지 않는 한, 기술적이거나 과학적인 용어를 포함해서 여기서 사용되는 모든 용어들은 본 발명이 속하는 기술 분야에서 통상의 지식을 가진 자에 의해 일반적으로 이해되는 것과 동일한 의미를 가진다. 일반적으로 사용되는 사전에 정의되어 있는 것과 같은 용어들은 관련 기술의 문맥상 가지는 의미와 일치하는 의미를 갖는 것으로 해석되어야 하며, 본 명세서에서 명백하게 정의하지 않는 한, 이상적이거나 과도하게 형식적인 의미로 해석되지 않는다.Unless defined otherwise, all terms used herein, including technical or scientific terms, have the same meaning as commonly understood by one of ordinary skill in the art to which this invention belongs. Terms such as those defined in commonly used dictionaries are to be interpreted as having a meaning consistent with the meaning of the context in the relevant art and, unless explicitly defined herein, are to be interpreted as ideal or overly formal Do not.

이하, 실시 예들을 첨부된 도면을 참조하여 상세하게 설명한다. 그러나, 특허출원의 범위가 이러한 실시 예들에 의해 제한되거나 한정되는 것은 아니다. 각 도면에 제시된 동일한 참조 부호는 동일한 부재를 나타낸다.Hereinafter, embodiments will be described in detail with reference to the accompanying drawings. However, the scope of the patent application is not limited or limited by these embodiments. Like reference symbols in the drawings denote like elements.

이하에서는, 본 발명의 일 실시 예에 따른 랜섬웨어를 방지하는 방법 및 그 장치를 첨부된 도 1 내지 도 9를 참조하여 상세히 설명한다.Hereinafter, a method and apparatus for preventing random software according to an embodiment of the present invention will be described in detail with reference to FIGS. 1 to 9 attached hereto.

도 1은 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기를 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.FIG. 1 is a flowchart illustrating a process of preventing random software using a security explorer in a random access protection apparatus according to an exemplary embodiment of the present invention. Referring to FIG.

도 1을 참조하면, 랜섬웨어 방지 장치는 안전탐색기와 모든 프로세스가 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치한다(110).Referring to FIG. 1, the anti-virus protection device installs a safety searcher and a device driver for safety search, which is a path through which all processes access the file system (110).

그리고, 안전탐색용 디바이스 드라이버는 파일시스템의 파일에 대한 접근 요청을 수신하면(120), 접근 요청된 파일이 안전폴더에 포함된 파일인지 확인한다(130). 이때, 파일시스템의 파일에 대한 접근 요청에는 읽기(read), 쓰기(write), 액세스(access) 등이 존재할 수 있다.When the device driver for safety search receives an access request for a file in the file system (120), it determines whether the file requested for access is a file included in the secure folder (130). At this time, a read request, a write request, an access request, and the like may exist in the access request to the file of the file system.

안전폴더는 안전탐색기를 이용해서 아래 도 8의 예과 같이 설정될 수 있다. The security folder can be set using the security explorer as shown in the example of FIG. 8 below.

도 8은 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전탐색기를 이용해서 안전폴더를 설정하는 예를 도시한 도면이다.FIG. 8 is a diagram illustrating an example of setting a security folder using a security explorer in an anti-threat agent according to an exemplary embodiment of the present invention.

도 8을 참조하면, 안전탐색기(800)는 메뉴(820)에 포함된 "안전폴더로 설정" 명령(822)을 이용해서 "DDD" 폴더, "CCC" 폴더와 같이 안전폴더로 설정할 수 있다. 이때, "CCC"의 안전폴더(810)는 음영 또는 색을 달리하여 다른 일반 폴더와 구분되도록 할 수 있다.8, the security explorer 800 can set a secure folder such as a "DDD" folder and a "CCC" folder by using the " Set secure folder "command 822 included in the menu 820. [ At this time, the security folder 810 of "CCC " may be distinguished from other general folders by different shades or colors.

130단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(150).If it is determined in step 130 that the file is not included in the file security folder requested for access, the device driver for security search permits access to the file requested to be accessed (150).

130단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이면, 안전탐색용 디바이스 드라이버는 접근을 요청한 프로세스가 안전탐색기인지 확인한다(140).If it is determined in step 130 that the file is included in the file security folder requested to be accessed, the device driver for security search determines whether the process requesting access is a security explorer (step 140).

140단계의 확인결과 접근을 요청한 프로세스가 안전탐색기이면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(150).If it is determined in step 140 that the process requesting access is a safety explorer, the device driver for security exploration permits access to the file requested to be accessed (150).

140단계의 확인결과 접근을 요청한 프로세스가 안전탐색기가 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용하지 않는다(160).If it is determined in step 140 that the process requesting access is not a security explorer, the device driver for security search does not allow access to the file requested to be accessed (160).

즉, 도 1의 안전탐색용 디바이스 드라이버는 안전탐색기를 통하지 않고서는 안전폴더에 접근을 허용하지 않는다.That is, the device driver for security search shown in Fig. 1 does not allow access to the secure folder without going through the security explorer.

도 2는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기와 인스턴트 백업과 패스워드를 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.FIG. 2 is a flowchart illustrating a procedure for preventing Ransomware using a security explorer, an instant backup, and a password in an Ransomware protection apparatus according to an exemplary embodiment of the present invention.

도 2를 참조하면, 랜섬웨어 방지 장치는 안전탐색기와 모든 프로세스가 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치한다(210).Referring to FIG. 2, the anti-camping device includes a safety searcher and a device driver for searching for safety (210), which is a path through which all processes access the file system.

그리고, 안전탐색용 디바이스 드라이버는 파일시스템의 파일에 대한 접근 요청을 수신하면(212), 접근 요청된 파일이 운영체제의 부트영역에 포함된 파일인지 확인한다(214).When the device driver for safety search receives an access request for a file in the file system (212), it determines whether the file requested for access is a file included in the boot area of the operating system (214).

214단계의 확인결과 접근 요청된 파일이 부트영역에 포함된 파일이 아니면, 안전탐색용 디바이스는 접근 요청된 파일이 안전폴더에 포함된 파일인지 확인한다(216).If it is determined in step 214 that the file requested for access is not a file included in the boot area, the device for safety search determines whether the file requested for access is a file included in the secure folder (step 216).

216단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(224).If it is determined in step 216 that the file is not included in the file security folder requested for access, the device driver for security search permits access to the file requested for access (224).

216단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이면, 안전탐색용 디바이스 드라이버는 접근을 요청한 프로세스가 안전탐색기인지 확인한다(218).If it is determined in step 216 that the file is included in the file security folder requested for access, the device driver for safety search determines whether the process requesting access is a security explorer (step 218).

218단계의 확인결과 접근을 요청한 프로세스가 안전탐색기이면, 안전탐색용 디바이스 드라이버는 사용자에게 패스워드를 요청한다(220).If it is determined in step 218 that the process requesting access is a security explorer, the device driver for security search requests a password to the user (220).

그리고, 안전탐색용 디바이스 드라이버는 수신하는 패스워드가 기설정된 정당한 패스워드인지 여부를 확인한다(222).Then, the device driver for security search checks whether the received password is a predetermined valid password (222).

222단계의 확인결과 수신한 패스워드가 정당한 패스워드이면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(224).If it is determined in step 222 that the received password is a valid password, the device driver for security search permits access to the file requested to be accessed (224).

한편, 214단계의 확인결과 접근 요청된 파일이 부트영역에 포함된 파일이거나, 218단계의 확인결과 접근을 요청한 프로세스가 안전탐색기가 아니거나 또는 222단계의 확인결과 수신한 패스워드가 정당한 패스워드가 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용하지 않는다(226).On the other hand, if it is determined in step 214 that the requested file is a file included in the boot area, or the process requesting access in step 218 is not a security explorer, or if the password received in step 222 is not a valid password, The device driver for security search does not allow access to the file requested to be accessed (226).

즉, 도 2에서 안전탐색용 디바이스 드라이버는 안전탐색기와 패스워드의 입력을 통하지 않고서는 안전폴더에 포함된 파일에 접근을 허용하지 않으며, 또한 부트 영역에도 접근할 수 없도록 한다.That is, in Fig. 2, the device driver for security search does not allow access to the file included in the security folder without accessing the security explorer and password, and also prevents access to the boot area.

도 3은 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기와 인스턴트 백업을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.FIG. 3 is a flowchart illustrating a procedure for preventing Ransomware using the security explorer and instant backup in the Ransomware protection apparatus according to an embodiment of the present invention.

도 3을 참조하면, 랜섬웨어 방지 장치는 안전탐색기와 모든 프로세스가 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치한다(310).Referring to FIG. 3, the anti-camping device includes a safety searcher and a device driver for searching for safety (310), which is a path through which all processes access the file system.

그리고, 안전탐색용 디바이스 드라이버는 파일시스템의 파일에 대한 접근 요청을 수신하면(312), 접근 요청된 파일이 안전폴더에 포함된 파일인지 확인한다(314).When receiving the access request for the file in the file system (312), the device driver for safety search confirms whether the access requested file is included in the secure folder (314).

314단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(320).If it is determined in step 314 that the file is not included in the requested file security folder, the device driver for security search permits access to the requested file (320).

314단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이면, 안전탐색용 디바이스 드라이버는 접근을 요청한 프로세스가 안전탐색기인지 확인한다(316).If it is determined in step 314 that the file is included in the file security folder requested for access, the device driver for safety search determines whether the process requesting access is a security explorer (step 316).

316단계의 확인결과 접근을 요청한 프로세스가 안전탐색기이면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일을 인스턴트 백업하고(318), 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(320). 이때, 인스턴트 백업은 접근 요청된 파일을 기설정된 시간동안 기설정된 저장위치에 백업하거나 또는 접근 요청된 파일이 기설정 횟수 동안 접근 될 때까지 기설정된 저장위치에 백업하는 것을 의미한다.If it is determined in step 316 that the process requesting access is a security explorer, the device driver for safety search instantly backs up the file requested to be accessed (318), and the device driver for security exploration permits access to the file requested for access (320) . In this case, the instant backup means that the requested file is backed up to a preset storage location for a predetermined time, or that the requested file is backed up to a predetermined storage location until it is accessed for a predetermined number of times.

접근하는 파일의 용량이 큰 경우 백업에 오랜 시간이 소요되는 것을 방지하기 위해서 318단계에서 백업할 때, 안전탐색용 디바이스 드라이버는 접근 요청된 파일을 구성하는 전체 데이터 중에서 접근을 요청한 프로세스로 전달하는 데이터만큼 씩 백업할 수 있다. 즉, 파일 전체를 프로세스로 전달하는 것이 아니라 블록 단위로 전달하고 블록 단위로 백업하여 저장할 수 있다.In order to prevent the backup process from taking a long time when the file to be accessed is large, when the backup is made in step 318, the device driver for the secure search selects all the data constituting the file requested to be accessed As shown in FIG. That is, instead of transferring the entire file as a process, it can be transferred in units of blocks and backed up in blocks.

316단계의 확인결과 접근을 요청한 프로세스가 안전탐색기가 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용하지 않는다(322).If it is determined in step 316 that the process requesting access is not a security explorer, the device driver for security search does not allow access to the file requested for access (322).

즉, 도 3의 안전탐색용 디바이스 드라이버는 안전탐색기를 통하지 않고서는 안전폴더에 포함된 파일에 접근을 허용하지 않으며, 추가로 인스턴트 백업을 통해서 복구할 수 있도록 한다.That is, the device driver for security search shown in FIG. 3 does not allow access to the files included in the security folder without going through the security explorer, and further allows instant recovery through the instant backup.

도 4는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전 탐색기와 미끼 파일을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.FIG. 4 is a flowchart illustrating a process for preventing Ransomware using a security explorer and a bait file in a Ransomware prevention apparatus according to an exemplary embodiment of the present invention. Referring to FIG.

도 4를 참조하면, 랜섬웨어 방지 장치는 안전탐색기와 모든 프로세스가 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치한다(410).Referring to FIG. 4, the anti-virus protection device 410 includes a safety searcher and a device driver for searching for safety, which is a path for accessing the file system by all the processes.

그리고, 안전탐색용 디바이스 드라이버는 파일시스템의 파일에 대한 접근 요청을 수신하면(412), 접근 요청된 파일이 안전폴더에 포함된 파일인지 확인한다(414).When receiving the access request for the file in the file system (412), the device driver for safety search confirms whether the requested file is included in the secure folder (414).

422단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용한다(424).If it is determined in step 422 that the file is not included in the requested file security folder, the device driver for security search permits access to the requested file (step 424).

422단계의 확인결과 접근 요청된 파일 안전폴더에 포함된 파일이면, 안전탐색용 디바이스 드라이버는 접근을 요청한 프로세스가 안전탐색기인지 확인한다(426).If it is determined in step 422 that the file is included in the file security folder requested to be accessed, the device driver for safety search determines whether the process requesting access is a security explorer (step 426).

426단계의 확인결과 접근을 요청한 프로세스가 안전탐색기이면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일을 복사해서 미끼 파일을 생성하고(428), 미끼 파일을 접근을 요청한 프로세스로 제공하고(430), 미끼 파일이 갱신되었는지 확인한다(432).If it is determined in step 426 that the process requesting access is a security explorer, the device driver for safety search generates a bait file by copying the access requested file (step 428), provides the bait file to the process requesting access (step 430) It is confirmed whether the bait file has been updated (432).

432단계의 확인결과 미끼 파일이 갱신되지 않으면, 본 알고리즘을 종료한다.If the bait file is not updated as a result of step 432, the algorithm is terminated.

432단계의 확인결과 미끼 파일이 갱신되면, 안전탐색용 디바이스 드라이버는 미끼 파일이 랜섬웨어에 감염되었는지 여부를 확인한다(434).If it is determined in step 432 that the bait file is updated, the device driver for safety search confirms whether the bait file is infected with the Ramsomware (434).

434단계의 확인결과 미끼 파일이 랜섬웨어에 감염되었으면, 안전탐색용 디바이스 드라이버는 사용자에게 감염되었음을 알리고(예를 들어, 팝업 등을 통해서 알림) 감염된 미끼 파일을 삭제한다(436).If it is determined in step 434 that the bait file has been infected with the Ransomware, the device driver for safety discovery informs the user that the infected bait file has been infected (for example, through a popup or the like) and deletes the infected bait file (436).

434단계의 확인결과 미끼 파일이 랜섬웨어에 감염되지 않았으면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일을 미끼 파일로 교체하여 저장한다(440).If it is determined in step 434 that the decoy file is not infected with the random software, the device driver for safety search may replace the requested file with the decoy file and store the file in step 440.

한편, 426단계의 확인결과 접근을 요청한 프로세스가 안전탐색기가 아니면, 안전탐색용 디바이스 드라이버는 접근 요청된 파일로 접근을 허용하지 않는다(438).If it is determined in step 426 that the process requesting access is not a security explorer, the device driver for security search does not allow access to the file requested for access (438).

즉, 도 4의 안전탐색용 디바이스 드라이버는 안전탐색기를 통하지 않고서는 안전폴더에 포함된 파일에 접근을 허용하지 않으며, 추가로 미끼 파일을 통해서 추가로 랜섬웨어를 회피할 수 있도록 한다.That is, the device driver for security search of FIG. 4 does not allow access to the files included in the security folder without going through the security explorer, and additionally allows the risk software to be avoided through the decoy file.

도 5는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치에서 안전탐색용 디바이스 드라이버의 무력화를 방지하기 위한 과정을 도시한 흐름도이다.FIG. 5 is a flowchart illustrating a process for preventing the disabling of the device driver for safety search in the random access protection device according to the embodiment of the present invention.

도 5를 참조하면, 랜섬웨어 방지 장치는 안전탐색기, 모니터링 프로세스 및 모든 프로세스가 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치한다(510).Referring to FIG. 5, the anti-campus protection device 510 installs a safety searcher, a monitoring process, and a device driver for a safety search, which is a path through which all processes access the file system.

520단계에서 모니터링 프로세스를 통한 모니터링으로 안전탐색용 디바이스 드라이버가 무력화가 되었는지 확인한다(520). 이때, 안전탐색용 디바이스 드라이버의 무력화 여부는 안전탐색용 디바이스 드라이버가 설치된 상태인지 여부를 통해서 확인할 수 있다. 즉, 안전탐색용 디바이스 드라이버가 설치된 상태이면 무력화되지 않았고, 안전탐색용 디바이스 드라이버가 설치되지 않은 상태이면 무력화되었다고 판단할 수 있다.In step 520, monitoring is performed through the monitoring process to determine whether the device for safety search has been disabled (520). At this time, whether or not the safety search device driver is disabled can be confirmed by checking whether or not the safety search device driver is installed. That is, it can be determined that the device is not disabled if the device driver for safety search is installed and disabled if the device for safety search is not installed.

520단계의 확인결과 안전탐색용 디바이스 드라이버가 무력화되었으면(안전탐색용 디바이스 드라이버가 설치된 상태가 아니면), 모니터링 프로세스는 안전탐색용 디바이스 드라이버를 재설치한다(530).If it is determined in operation 520 that the device driver for safety search has been disabled (if the device driver for safety search is not installed), the monitoring process reinstalls the device driver for safety search 530.

520단계의 확인결과 안전탐색용 디바이스 드라이버가 무력화되지 않았으면(안전탐색용 디바이스 드라이버가 설치된 상태이면), 안전탐색용 디바이스 드라이버는 모니터링 프로세스가 무력화 되었는지 확인한다(540). 이때, 모니터링 프로세스의 무력화 여부는 사전에 모니터링 프로세스에서 기설정된 시간 간격으로 파일시스템에 저장된 파일로의 접근을 시도하도록 설정하고, 안전탐색용 디바이스 드라이버에서 기설정된 시간 간격을 경과한 이후에도 파일시스템에 저장된 파일로의 접근이 발생하지 않으면, 모니터링 프로세스가 정지한 것으로 판단함으로써, 무력화 여부를 확인할 수 있다.If it is determined in step 520 that the device driver for safety search has not been disabled (if the device driver for safety search is installed), the device driver for safety search determines whether the monitoring process is disabled (step 540). At this time, whether or not the monitoring process is disabled is set so as to attempt to access the file stored in the file system at a predetermined time interval in the monitoring process in advance, and it is stored in the file system even after a predetermined time interval has elapsed in the device for safety search If access to the file does not occur, it is determined that the monitoring process has been stopped, thereby confirming whether or not the monitoring process has been disabled.

540단계의 확인결과 모니터링 프로세스가 무력화되지 않았으면, 랜섬웨어 방지 장치는 520단계로 돌아가서 이후 일련의 과정을 반복한다.If it is determined in step 540 that the monitoring process has not been disabled, the anti-virus protection apparatus returns to step 520 and repeats a series of processes.

540단계의 확인결과 모니터링 프로세스가 무력화되었으면, 안전탐색용 디바이스 드라이버에서 파일시스템으로의 접근을 차단함으로써, 랜섬웨어의 접근을 방지할 수 있다(550).If the monitoring process is disabled as a result of step 540, access to the file system by the device driver for the security search is blocked, thereby preventing the access of the Raman software (550).

도 6은 본 발명의 다른 실시 예에 따른 랜섬웨어 방지 장치에서 인스턴트 백업을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.FIG. 6 is a flowchart illustrating a procedure for preventing Ransomware using instant backup in the Ransomware prevention apparatus according to another embodiment of the present invention.

도 6을 참조하면, 랜섬웨어 방지 장치는 파일시스템의 파일에 대한 접근 요청을 수신하면(610), 파일에 대한 접근을 요청한 프로세스가 신뢰된 프로세스인지 확인한다(612). 이때, 랜섬웨어 방지 장치는 프로세스가 접근해서 백업된 파일이 복구되지 않고 삭제되는 횟수가 기설정된 기간 내에 기설정된 횟수 이상 발생하면, 해당 프로세스를 신뢰된 프로세스로 분류할 수 있다.Referring to FIG. 6, when the random access protection device receives a file access request for a file in the file system (610), it confirms whether the process requesting access to the file is a trusted process (612). At this time, if the number of times that the process accessed and the backed up file is not recovered and deleted is more than a preset number of times within a predetermined period, the process can be classified as a trusted process.

612단계의 확인결과 접근을 요청한 프로세스가 신뢰된 프로세스이면, 랜섬웨어 방지 장치는 접근 요청된 파일을 제공한다(614).If it is determined in step 612 that the process requesting access is a trusted process, the anti-virus protection device provides the file requested for access (614).

612단계의 확인결과 접근을 요청한 프로세스가 신뢰된 프로세스가 아니면, 랜섬웨어 방지 장치는 접근 요청된 파일을 인스턴트 백업하고(318), 접근 요청된 파일로 접근을 제공한다(618). 이때, 인스턴트 백업은 접근 요청된 파일을 기설정된 시간동안 기설정된 저장위치에 백업하거나 또는 접근 요청된 파일이 기설정 횟수 동안 접근 될 때까지 기설정된 저장위치에 백업하는 것을 의미한다. 이때, 기설정된 저장위치는 저장 장치의 일부 영역을 데이터베이스화 하여 백업을 위해 관리되는 안전 영역이다. 안전 영역은 사용자에 의해서 용량이 설정될 수 있으며, 안전 영역의 용량 초과에 따른 장애 발생을 막기 위해 안전 영역에 저장되는 백업된 파일의 저장 기간이 기설정될 수 있고, 기설정된 기간을 초과하는 백업된 파일은 삭제되도록 관리할 수 있다.If the process requesting access is not a trusted process in step 612, the anti-spyware device instantly backs up the requested file (318) and provides access to the requested file (618). In this case, the instant backup means that the requested file is backed up to a preset storage location for a predetermined time, or that the requested file is backed up to a predetermined storage location until it is accessed for a predetermined number of times. At this time, the preset storage location is a safe area that is managed for backup by making a part of the storage device into a database. The capacity of the safe area can be set by the user, and the storage period of the backup file stored in the safe area can be set in advance in order to prevent the occurrence of the failure due to the capacity exceeding the safety area, Can be managed to be deleted.

접근하는 파일의 용량이 큰 경우 백업에 오랜 시간이 소요되는 것을 방지하기 위해서 318단계에서 백업할 때, 랜섬웨어 방지 장치는 접근 요청된 파일을 구성하는 전체 데이터 중에서 접근을 요청한 프로세스로 전달하는 데이터만큼 씩 백업할 수 있다. 즉, 파일 전체를 프로세스로 전달하는 것이 아니라 블록 단위로 전달하고 블록 단위로 백업하여 저장할 수 있다.In order to prevent the backup process from taking a long time when the capacity of the file to be accessed is large, at the time of backing up in step 318, the anti-virus protection device deletes the entire data constituting the file requested to be accessed Can be backed up one by one. That is, instead of transferring the entire file as a process, it can be transferred in units of blocks and backed up in blocks.

그리고, 랜섬웨어 방지 장치는 백업된 파일의 복구 요청을 수신하면(620), 백업된 파일을 이용해서 대응하는 파일을 복구한다(622).Then, when the anti-virus protection device receives the recovery request of the backup file (620), the corresponding file is recovered using the backup file (622).

도 7은 본 발명의 또 다른 실시 예에 따른 랜섬웨어 방지 장치에서 미끼파일을 이용해서 랜섬웨어를 방지하는 과정을 도시한 흐름도이다.FIG. 7 is a flowchart illustrating a process for preventing Ransomware using a bait file in a Ransomware prevention apparatus according to another embodiment of the present invention.

도 7을 참조하면, 랜섬웨어 방지 장치는 파일시스템의 파일에 대한 접근 요청을 수신하면(710), 파일에 대한 접근을 요청한 프로세스가 신뢰된 프로세스인지 확인한다(712). 이때, 랜섬웨어 방지 장치는 프로세스가 접근해서 갱신된 미끼 파일이 랜섬웨어에 감염되지 않음으로 판단되는 경우가 기설정된 기간 내에 기설정된 횟수 이상 발생하면, 상기 프로세스를 신뢰된 프로세스로 분류할 수 있다. 즉, 신규 프로세스의 경우는 신뢰되지 않은 프로세스로 설정되게 된다. 다른 한편으로는 사전에 신뢰된 프로세스를 설정하고, 기설정 되었는지 여부로 신뢰된 프로세스인지 판단할 수도 있다.Referring to FIG. 7, when the random access protection device receives a file access request for a file in the file system (710), it determines whether the process requesting access to the file is a trusted process (712). At this time, the anti-virus protection device can classify the process as a trusted process when a case where it is determined that the updated bait file is not infected with the RANCOMMWARE is accessed more than a preset number of times within a predetermined period. That is, in the case of a new process, it is set as an untrusted process. On the other hand, it is possible to set a trusted process in advance, and judge whether it is a trusted process whether it is already set or not.

712단계의 확인결과 접근을 요청한 프로세스가 신뢰된 프로세스이면, 랜섬웨어 방지 장치는 접근 요청된 파일을 제공한다(714).If it is determined in step 712 that the process requesting the access is a trusted process, the anti-virus protection device provides the access requested file (714).

712단계의 확인결과 접근을 요청한 프로세스가 신뢰된 프로세스가 아니면, 랜섬웨어 방지 장치는 접근 요청된 파일을 복사해서 미끼 파일을 생성하고(716), 미끼 파일을 접근을 요청한 프로세스로 제공하고(718), 미끼 파일이 갱신되었는지 확인한다(720).If it is determined in step 712 that the process requesting access is not a trusted process, the anti-spyware device copies the requested file to generate a decoy file (step 716), provides the decoy file to the process requesting access (step 718) , And checks whether the bait file has been updated (720).

720단계의 확인결과 미끼 파일이 갱신되지 않으면, 본 알고리즘을 종료한다.If the bait file is not updated as a result of step 720, the algorithm is terminated.

720단계의 확인결과 미끼 파일이 갱신되면, 랜섬웨어 방지 장치는 미끼 파일이 랜섬웨어에 감염되었는지 여부를 확인한다(722).When the bait file is updated as a result of checking in step 720, the anti-virus protection device checks whether the bait file is infected with the Ramsomware (722).

722단계의 확인결과 미끼 파일이 랜섬웨어에 감염되었으면, 랜섬웨어 방지 장치는 사용자에게 감염되었음을 알리고(예를 들어, 팝업 등을 통해서 알림) 감염된 미끼 파일을 삭제한다(724).If it is determined in step 722 that the bait file has been infected with the Ransomware, the Ransomware prevention device informs the user that the infection is infected (for example, via a pop-up message) and deletes the infected bait file (724).

722단계의 확인결과 미끼 파일이 랜섬웨어에 감염되지 않았으면, 랜섬웨어 방지 장치는 접근 요청된 파일을 미끼 파일로 교체하여 저장한다(726).If it is determined in step 722 that the bait file has not been infected with the random software, the anti-virus protection device replaces the file requested to be accessed with the bait file (step 726).

상술한 안전 탐색기를 이용해서 랜섬웨어를 방지하는 방법들이 적용된 랜섬웨어 방지 장치를 아래에서 도 9를 통해 후술한다.The anti-virus protection apparatus to which the methods for preventing the RAN firmware can be applied using the above-described safety explorer will be described below with reference to FIG.

도 9는 본 발명의 일 실시 예에 따른 랜섬웨어 방지 장치의 개략적인 구성을 도시한 도면이다.FIG. 9 is a diagram showing a schematic configuration of an anti-random software device according to an embodiment of the present invention.

도 9를 참조하면, 랜섬웨어 방지 장치는 파일시스템(910), 안전탐색용 디바이스 드라이버(920), 운영체제(930) 및 어플리케이션(940)을 포함할 수 있고, 어플리케이션(940)은 안전탐색기(942)와 모니터링 프로세스(944)를 포함할 수 있다.9, the anti-virus protection device may include a file system 910, a device driver 920 for security search, an operating system 930 and an application 940, and the application 940 may include a security explorer 942 And a monitoring process 944.

파일시스템(910)은 저장장치와 그 안에 저장되는 파일을 관리하는 시스템을 나타내는 것으로, 기억 장치에 저장된 각 파일과 구조를 의미한다.The file system 910 indicates a system for managing a storage device and files stored therein, and means each file and structure stored in the storage device.

안전탐색용 디바이스 드라이버(920)는 운영체제(930)과 파일시스템(910) 간의 연결고리 또는 어플리케이션(940)과 파일시스템(910) 간의 연결고리가 되는 구성이다. 즉, 파일시스템(910)에 접근하기 위해서는 안전탐색용 디바이스 드라이버(920)를 이용해야만 한다.The device driver 920 for security search is a connection link between the operating system 930 and the file system 910 or a link between the application 940 and the file system 910. [ That is, in order to access the file system 910, the device driver 920 for security search must be used.

안전탐색용 디바이스 드라이버(920)는 도 1에서 도 5의 방법을 수행할 수 있으며, 추가로 파일시스템(910)에 저장하려는 파일에 개인정보가 존재하는 확인하고, 개인정보가 존재하면, 파일시스템(910)에 저장하는 파일에 개인정보가 포함되어 있음을 사용자에게 알릴(예를 들어, 팝업 등을 이용할 수 있음) 수 있다. 한편, 안전탐색용 디바이스 드라이버(920)는 안전폴더에 대해서 다른 일반 폴더와 저장 장치의 파티션을 분리하여 설정할 수도 있다.The device driver 920 for security search can perform the method of FIG. 5 through FIG. 5, further confirms that the personal information exists in the file to be stored in the file system 910, (E.g., using a pop-up, etc.) to inform the user that personal information is included in the file stored in the file 910. [ On the other hand, the device driver 920 for security search may be configured to separate the general folder and the partition of the storage device from the safety folder.

안전탐색기(942)는 안전폴더를 생성 또는 설정하거나 설정된 안전폴더를 취소할 수 있으며, 안전폴더에 포함된 파일에 접근할 수 있는 프로세스이다.The security explorer 942 is a process for creating or setting a security folder, canceling a set security folder, and accessing a file contained in the security folder.

모니터링 프로세스(944)는 안전탐색용 디바이스 드라이버(920)가 설치된 상태인지 여부를 모니터링하여 안전탐색용 디바이스 드라이버(920)가 삭제되어 무력화되는 것을 방지하고, 안전탐색용 디바이스 드라이버(920)에서 모니터링 프로세스(944)가 무력화되지 않았음을 감지할 수 있도록 하기 위해서 기설정된 시간간격으로 파일시스템에 저장된 파일로의 접근을 시도한다. 이때, 접근하는 파일은 기설정된 파일 이거나 또는 임의의 파일일 수 있다.The monitoring process 944 monitors whether or not the safety search device driver 920 is in the installed state to prevent the safety search device driver 920 from being deleted and disabled, Attempts to access the file stored in the file system at a predetermined time interval so as to detect that the file 944 has not been disabled. At this time, the accessed file may be a predetermined file or an arbitrary file.

이상에서 설명된 장치는 하드웨어 구성요소, 소프트웨어 구성요소, 및/또는 하드웨어 구성요소 및 소프트웨어 구성요소의 조합으로 구현될 수 있다. 실시 예들에서 설명된 장치 및 구성요소는, 예를 들어, 프로세서, 콘트롤러, ALU(arithmetic logic unit), 디지털 신호 프로세서(digital signal processor), 마이크로컴퓨터, FPGA(field programmable gate array), PLU(programmable logic unit), 마이크로프로세서, 또는 명령(instruction)을 실행하고 응답할 수 있는 다른 어떠한 장치와 같이, 하나 이상의 범용 컴퓨터 또는 특수 목적 컴퓨터를 이용하여 구현될 수 있다. 처리 장치는 운영 체제(OS) 및 상기 운영 체제 상에서 수행되는 하나 이상의 소프트웨어 애플리케이션을 수행할 수 있다. 또한, 처리 장치는 소프트웨어의 실행에 응답하여, 데이터를 접근, 저장, 조작, 처리 및 생성할 수도 있다. 이해의 편의를 위하여, 처리 장치는 하나가 사용되는 것으로 설명된 경우도 있지만, 해당 기술분야에서 통상의 지식을 가진 자는, 처리 장치가 복수 개의 처리 요소(processing element) 및/또는 복수 유형의 처리 요소를 포함할 수 있음을 알 수 있다. 예를 들어, 처리 장치는 복수 개의 프로세서 또는 하나의 프로세서 및 하나의 콘트롤러를 포함할 수 있다. 또한, 병렬 프로세서(parallel processor)와 같은, 다른 처리 구성(processing configuration)도 가능하다.The apparatus described above may be implemented as a hardware component, a software component, and / or a combination of hardware components and software components. The apparatus and components described in the embodiments may be implemented, for example, as a processor, a controller, an arithmetic logic unit (ALU), a digital signal processor, a microcomputer, a field programmable gate array (FPGA) unit, a microprocessor, or any other device capable of executing and responding to instructions. The processing device may execute an operating system (OS) and one or more software applications running on the operating system. The processing device may also access, store, manipulate, process, and generate data in response to execution of the software. For ease of understanding, the processing apparatus may be described as being used singly, but those skilled in the art will recognize that the processing apparatus may have a plurality of processing elements and / As shown in FIG. For example, the processing unit may comprise a plurality of processors or one processor and one controller. Other processing configurations are also possible, such as a parallel processor.

소프트웨어는 컴퓨터 프로그램(computer program), 코드(code), 명령(instruction), 또는 이들 중 하나 이상의 조합을 포함할 수 있으며, 원하는 대로 동작하도록 처리 장치를 구성하거나 독립적으로 또는 결합적으로(collectively) 처리 장치를 명령할 수 있다. 소프트웨어 및/또는 데이터는, 처리 장치에 의하여 해석되거나 처리 장치에 명령 또는 데이터를 제공하기 위하여, 어떤 유형의 기계, 구성요소(component), 물리적 장치, 가상 장치(virtual equipment), 컴퓨터 저장 매체 또는 장치, 또는 전송되는 신호 파(signal wave)에 영구적으로, 또는 일시적으로 구체화(embody)될 수 있다. 소프트웨어는 네트워크로 연결된 컴퓨터 시스템 상에 분산되어서, 분산된 방법으로 저장되거나 실행될 수도 있다. 소프트웨어 및 데이터는 하나 이상의 컴퓨터 판독 가능 기록 매체에 저장될 수 있다.The software may include a computer program, code, instructions, or a combination of one or more of the foregoing, and may be configured to configure the processing device to operate as desired or to process it collectively or collectively Device can be commanded. The software and / or data may be in the form of any type of machine, component, physical device, virtual equipment, computer storage media, or device , Or may be permanently or temporarily embodied in a transmitted signal wave. The software may be distributed over a networked computer system and stored or executed in a distributed manner. The software and data may be stored on one or more computer readable recording media.

실시 예에 따른 방법은 다양한 컴퓨터 수단을 통하여 수행될 수 있는 프로그램 명령 형태로 구현되어 컴퓨터 판독 가능 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능 매체는 프로그램 명령, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다. 상기 매체에 기록되는 프로그램 명령은 실시 예를 위하여 특별히 설계되고 구성된 것들이거나 컴퓨터 소프트웨어 당업자에게 공지되어 사용 가능한 것일 수도 있다. 컴퓨터 판독 가능 기록 매체의 예에는 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체(magnetic media), CD-ROM, DVD와 같은 광기록 매체(optical media), 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 롬(ROM), 램(RAM), 플래시 메모리 등과 같은 프로그램 명령을 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다. 프로그램 명령의 예에는 컴파일러에 의해 만들어지는 것과 같은 기계어 코드뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드를 포함한다. 상기된 하드웨어 장치는 실시예의 동작을 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.The method according to an embodiment may be implemented in the form of a program command that can be executed through various computer means and recorded in a computer-readable medium. The computer-readable medium may include program instructions, data files, data structures, and the like, alone or in combination. The program instructions to be recorded on the medium may be those specially designed and configured for the embodiments or may be available to those skilled in the art of computer software. Examples of computer-readable media include magnetic media such as hard disks, floppy disks and magnetic tape; optical media such as CD-ROMs and DVDs; magnetic media such as floppy disks; Magneto-optical media, and hardware devices specifically configured to store and execute program instructions such as ROM, RAM, flash memory, and the like. Examples of program instructions include machine language code such as those produced by a compiler, as well as high-level language code that can be executed by a computer using an interpreter or the like. The hardware devices described above may be configured to operate as one or more software modules to perform the operations of the embodiments, and vice versa.

이상과 같이 실시 예들이 비록 한정된 실시 예와 도면에 의해 설명되었으나, 해당 기술분야에서 통상의 지식을 가진 자라면 상기의 기재로부터 다양한 수정 및 변형이 가능하다. 예를 들어, 설명된 기술들이 설명된 방법과 다른 순서로 수행되거나, 및/또는 설명된 시스템, 구조, 장치, 회로 등의 구성요소들이 설명된 방법과 다른 형태로 결합 또는 조합되거나, 다른 구성요소 또는 균등물에 의하여 대치되거나 치환되더라도 적절한 결과가 달성될 수 있다.While the present invention has been particularly shown and described with reference to exemplary embodiments thereof, it is to be understood that the invention is not limited to the disclosed exemplary embodiments. For example, it is to be understood that the techniques described may be performed in a different order than the described methods, and / or that components of the described systems, structures, devices, circuits, Lt; / RTI > or equivalents, even if it is replaced or replaced.

그러므로, 다른 구현들, 다른 실시 예들 및 특허청구범위와 균등한 것들도 후술하는 특허청구범위의 범위에 속한다.Therefore, other implementations, other embodiments and equivalents to the claims are within the scope of the following claims.

910; 파일시스템
920; 안전탐색용 디바이스 드라이버
930; 운영체제
940; 어플리케이션
942; 안전탐색기
944; 모니터링 프로세스910; File system
920; Device drivers for safety navigation
930; operating system
940; application
942; Safety Explorer
944; Monitoring process

Claims (19)

안전탐색기와 모든 프로세스가 파일 시스템에 대한 접근하기 위한 통로가 되는 안전탐색용 디바이스 드라이버를 설치하는 단계;
상기 파일 시스템의 파일에 대한 접근 요청을 수신하는 단계;
접근 요청된 파일이 안전폴더에 포함된 파일인지 확인하는 단계;
확인결과 상기 접근 요청된 파일 상기 안전폴더에 포함된 파일이면, 접근을 요청한 프로세스가 상기 안전탐색기인지 확인하는 단계;
확인결과 상기 접근을 요청한 프로세스가 상기 안전탐색기이면 상기 접근 요청된 파일로 접근을 허용하는 단계;
모니터링 프로세스에서 상기 안전탐색용 디바이스 드라이버가 설치된 상태인지를 감지하고, 상기 안전탐색용 디바이스 드라이버가 설치된 상태가 아니면, 상기 안전탐색용 디바이스 드라이버를 재 설치하는 단계;
상기 모니터링 프로세스에서 기설정된 시간 간격으로 상기 파일시스템에 저장된 파일로의 접근을 시도하는 단계; 및
상기 안전탐색용 디바이스 드라이버에서 상기 기설정된 시간 간격을 경과한 이후에도 상기 파일시스템에 저장된 파일로의 접근이 발생하지 않으면, 상기 모니터링 프로세스가 정지한 것으로 판단하고, 상기 파일 시스템으로의 접근을 차단하는 단계
를 포함하는 랜섬웨어를 방지하는 방법.
Installing a safety explorer and a device driver for searching for safety which is a path through which all processes access the file system;
Receiving an access request for a file of the file system;
Confirming that the file requested to be accessed is a file included in the secure folder;
Confirming whether the access requested file is a file included in the security folder and the process requesting access is the security explorer;
Allowing access to the access requested file if the process requesting the access is the security explorer;
Detecting whether the safety searching device driver is installed in the monitoring process, and reinstalling the safety searching device driver if the safety searching device driver is not installed;
Attempting access to a file stored in the file system at a predetermined time interval in the monitoring process; And
Determining that the monitoring process is stopped if access to the file stored in the file system does not occur even after the predetermined time interval elapses in the device driver for searching for safety and blocking access to the file system
The method comprising the steps of:
제1항에 있어서,
상기 접근을 요청한 프로세스가 안전탐색기가 아니면 상기 접근 요청된 파일로 접근을 허용하지 않는 단계;
를 더 포함하는 랜섬웨어를 방지하는 방법.
The method according to claim 1,
If the process requesting access is not a security explorer, not allowing access to the access requested file;
Further comprising the steps of:
제1항에 있어서,
상기 접근 요청된 파일로 접근을 허용하는 단계는,
상기 접근 요청된 파일을 기설정된 시간동안 기설정된 저장위치에 백업하거나 또는 상기 접근 요청된 파일이 기설정 횟수 동안 접근 될 때까지 상기 기설정된 저장위치에 백업하는 단계
를 포함하는 랜섬웨어를 방지하는 방법.
The method according to claim 1,
Wherein the step of allowing access to the access requested file comprises:
Backing up the file requested to be accessed to a preset storage location for a predetermined time or backing up to the predetermined storage location until the access requested file is accessed for a preset number of times
The method comprising the steps of:
제3항에 있어서,
상기 기설정된 저장위치는,
저장 장치의 일부 영역을 데이터베이스화 하여 백업을 위해 관리되는 안전 영역이고,
상기 안전 영역은,
사용자에 의해서 용량이 설정될 수 있고, 백업된 파일의 저장 기간이 기설정되고, 기설정된 기간을 초과하는 백업된 파일을 삭제하도록 관리되는
랜섬웨어를 방지하는 방법.
The method of claim 3,
The predetermined storage location may be a storage location,
A safe area managed for backup by making a part of the storage device into a database,
The safe area may include:
The capacity can be set by the user, the storage period of the backed up file is set in advance, and the backed up file exceeding the predetermined period is managed to be deleted
How to prevent Ransomware.
제3항에 있어서,
상기 백업하는 단계는,
상기 접근 요청된 파일을 구성하는 전체 데이터 중에서 상기 접근을 요청한 프로세스로 전달하는 데이터만큼 씩 백업하는 단계
를 포함하는 랜섬웨어를 방지하는 방법.
The method of claim 3,
Wherein the step of backing up comprises:
A step of backing up all the data constituting the access requested file by the amount of data to be transferred to the process requesting the access
The method comprising the steps of:
제1항에 있어서,
상기 접근 요청된 파일로 접근을 허용하는 단계는,
상기 접근 요청된 파일을 복사해서 미끼 파일을 생성하는 단계;
상기 미끼 파일을 상기 접근을 요청한 프로세스로 제공하는 단계;
상기 미끼 파일이 갱신되면, 상기 미끼 파일이 랜섬웨어에 감염되었는지 확인하는 단계; 및
확인결과, 상기 미끼 파일이 랜섬웨어에 감염되었으면 사용자에게 감염되었음을 알리고 감염된 상기 미끼 파일을 삭제하는 단계
를 포함하는 랜섬웨어를 방지하는 방법.
The method according to claim 1,
Wherein the step of allowing access to the access requested file comprises:
Generating a bait file by copying the access requested file;
Providing the bait file to a process requesting the access;
Confirming that the bait file is infected with the Ramsomeware when the bait file is updated; And
If it is determined that the bait file is infected with the Ransomware, the step of informing that the user is infected and deleting the infected bait file
The method comprising the steps of:
제6항에 있어서,
확인결과, 상기 미끼 파일이 랜섬웨어에 감염되지 않았으면 상기 접근 요청된 파일을 상기 미끼 파일로 교체하는 단계
를 더 포함하는 랜섬웨어를 방지하는 방법.
The method according to claim 6,
If it is determined that the bait file is not infected with the random software, the step of replacing the requested file with the bait file
Further comprising the steps of:
삭제delete 삭제delete 삭제delete 제1항에 있어서,
상기 접근 요청된 파일이 운영체제의 부트 영역에 포함된 파일이면, 상기 접근 요청을 차단하는 단계
를 더 포함하는 랜섬웨어를 방지하는 방법.
The method according to claim 1,
If the access requested file is a file included in a boot area of the operating system, blocking the access request
Further comprising the steps of:
제1항에 있어서,
상기 접근 요청된 파일로 접근을 허용하는 단계는,
상기 안전탐색기를 설치할 때 기설정된 패스워드를 요청하는 단계; 및
정당하지 않은 패스워드가 입력되면 상기 접근 요청된 파일로 접근을 차단하고, 정당한 패스워드를 입력되면 상기 접근 요청된 파일로 접근을 허용하는 단계
를 포함하는 랜섬웨어를 방지하는 방법.
The method according to claim 1,
Wherein the step of allowing access to the access requested file comprises:
Requesting a preset password when installing the security explorer; And
If an unauthorized password is input, blocking access to the file requested to be accessed, and if a valid password is input, allowing access to the file requested for access
The method comprising the steps of:
삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 삭제delete 제1항 내지 제7항 및 제11항 내지 제12항 중 어느 한 항의 방법을 실행하기 위한 프로그램이 기록되어 있는 것을 특징으로 하는 컴퓨터에서 판독 가능한 기록 매체.A computer-readable recording medium storing a program for executing the method according to any one of claims 1 to 7 and 11 to 12.
KR1020170082890A 2017-06-29 2017-06-29 Method for preventing randomware KR101995944B1 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170082890A KR101995944B1 (en) 2017-06-29 2017-06-29 Method for preventing randomware

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170082890A KR101995944B1 (en) 2017-06-29 2017-06-29 Method for preventing randomware

Publications (2)

Publication Number Publication Date
KR20190002241A KR20190002241A (en) 2019-01-08
KR101995944B1 true KR101995944B1 (en) 2019-07-03

Family

ID=65020994

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170082890A KR101995944B1 (en) 2017-06-29 2017-06-29 Method for preventing randomware

Country Status (1)

Country Link
KR (1) KR101995944B1 (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210072487A (en) 2019-12-09 2021-06-17 고려대학교 산학협력단 Method for ransomware mitigation by extension randomization, recording medium and device for performing the method
WO2022211511A1 (en) * 2021-03-31 2022-10-06 계명대학교 산학협력단 Detection method of ransomware, restoration method, and computing device for performing such methods
KR20220135648A (en) * 2021-03-31 2022-10-07 계명대학교 산학협력단 Method of detecting for ransomeware, and computing device for performing the method

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102099291B1 (en) * 2019-08-30 2020-05-15 (주)이스트소프트 Apparatus for processing compressed files suspected of infection, method thereof and computer recordable medium storing program to perform the method
KR20210065439A (en) 2019-11-27 2021-06-04 에스케이하이닉스 주식회사 Memory system and operating method thereof

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009086760A (en) * 2007-09-27 2009-04-23 Hitachi Software Eng Co Ltd Data transfer system, data transfer method, portable terminal equipment and program
KR101098947B1 (en) * 2009-02-03 2011-12-28 김상범 Method and apparatus for data security, and recording medium storing program to implement the method

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101233810B1 (en) * 2008-06-17 2013-02-18 주식회사 미라지웍스 Apparatus and method of managing system resources of computer and processes

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009086760A (en) * 2007-09-27 2009-04-23 Hitachi Software Eng Co Ltd Data transfer system, data transfer method, portable terminal equipment and program
KR101098947B1 (en) * 2009-02-03 2011-12-28 김상범 Method and apparatus for data security, and recording medium storing program to implement the method

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20210072487A (en) 2019-12-09 2021-06-17 고려대학교 산학협력단 Method for ransomware mitigation by extension randomization, recording medium and device for performing the method
WO2022211511A1 (en) * 2021-03-31 2022-10-06 계명대학교 산학협력단 Detection method of ransomware, restoration method, and computing device for performing such methods
KR20220135648A (en) * 2021-03-31 2022-10-07 계명대학교 산학협력단 Method of detecting for ransomeware, and computing device for performing the method
KR102494442B1 (en) * 2021-03-31 2023-02-06 계명대학교 산학협력단 Method of detecting for ransomeware, and computing device for performing the method

Also Published As

Publication number Publication date
KR20190002241A (en) 2019-01-08

Similar Documents

Publication Publication Date Title
KR101995944B1 (en) Method for preventing randomware
US11941110B2 (en) Process privilege escalation protection in a computing environment
US10430591B1 (en) Using threat model to monitor host execution in a virtualized environment
US9306956B2 (en) File system level data protection during potential security breach
US20190158512A1 (en) Lightweight anti-ransomware system
US11244051B2 (en) System and methods for detection of cryptoware
US9990511B1 (en) Using encrypted backup to protect files from encryption attacks
JP5054768B2 (en) Method and apparatus for intrusion detection
US11227053B2 (en) Malware management using I/O correlation coefficients
CA2939599C (en) Approaches for a location aware client
US20180007069A1 (en) Ransomware Protection For Cloud File Storage
US20180139218A1 (en) Reversion of system objects affected by a malware
US9396329B2 (en) Methods and apparatus for a safe and secure software update solution against attacks from malicious or unauthorized programs to update protected secondary storage
KR20140033349A (en) System and method for virtual machine monitor based anti-malware security
KR20010109271A (en) System And Method For Providing Data Security
MXPA05012560A (en) Computer security management, such as in a virtual machine or hardened operating system.
US10339307B2 (en) Intrusion detection system in a device comprising a first operating system and a second operating system
US20190228147A1 (en) Data Recovery Enhancement System
KR20190021673A (en) Apparatus and method for preventing ransomware
Ami et al. Ransomware prevention using application authentication-based file access control
KR20170119903A (en) Apparatus and method for controlling malware including ransomware
KR101940864B1 (en) Client device and back-up method based on cloud, recording medium for performing the method
US11405409B2 (en) Threat-aware copy data management
KR101290852B1 (en) Apparatus and Method for Preventing Data Loss Using Virtual Machine
US20230229792A1 (en) Runtime risk assessment to protect storage systems from data loss

Legal Events

Date Code Title Description
A201 Request for examination
E902 Notification of reason for refusal
N231 Notification of change of applicant
E701 Decision to grant or registration of patent right
GRNT Written decision to grant