KR20190080446A - 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 - Google Patents

랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 Download PDF

Info

Publication number
KR20190080446A
KR20190080446A KR1020170182897A KR20170182897A KR20190080446A KR 20190080446 A KR20190080446 A KR 20190080446A KR 1020170182897 A KR1020170182897 A KR 1020170182897A KR 20170182897 A KR20170182897 A KR 20170182897A KR 20190080446 A KR20190080446 A KR 20190080446A
Authority
KR
South Korea
Prior art keywords
file
bait
ransomware
reflecting
size
Prior art date
Application number
KR1020170182897A
Other languages
English (en)
Other versions
KR102000369B1 (ko
Inventor
홍지만
이정환
이진우
Original Assignee
숭실대학교산학협력단
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 숭실대학교산학협력단 filed Critical 숭실대학교산학협력단
Priority to KR1020170182897A priority Critical patent/KR102000369B1/ko
Publication of KR20190080446A publication Critical patent/KR20190080446A/ko
Application granted granted Critical
Publication of KR102000369B1 publication Critical patent/KR102000369B1/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Debugging And Monitoring (AREA)
  • Storage Device Security (AREA)

Abstract

랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템이 개시된다. 랜섬웨어 탐지 방법은, 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고, 상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하며, 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일을 암호화하는 프로세스를 랜섬웨어로 탐지한다.

Description

랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템{METHOD FOR RANSOMWARE DETECTION, COMPUTER READABLE MEDIUM FOR PERFORMING THE METHOD AND RANSOMWARE DETECTION SYSTEM}
본 발명은 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 랜섬웨어 탐지 시스템에 관한 것으로, 보다 상세하게는 미끼(Decoy) 파일을 이용한 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 랜섬웨어 탐지 시스템에 관한 것이다.
랜섬웨어(Ransomware)는 몸값을 의미하는 "ransom" 및 프로그램을 의미하는 "ware"이 합쳐진 단어로, 사용자의 파일을 암호화하고, 암호화한 파일을 인질로 잡아 사용자에게 금전을 요구하는 악성코드의 한 종류이다. 일반적으로 랜섬웨어에 감염되면 해커에게 돈을 지급하여 손상된 파일의 복구를 시도하는데, 해커에게 돈을 지급하더라도 파일을 완전히 복구할 수 없는 경우도 많아 피해가 증가하고 있다.
랜섬웨어의 감염은 대부분 사용자의 부주의에 의해 발생한다. 예를 들어, 사용자가 랜섬웨어가 내제된 실행 이미지를 내려 받아 직접 실행하거나, 플래시 취약점을 이용하는 랜섬웨어가 포함된 특정 웹 사이트에 접속하는 경우 발생한다. 하지만 최근에는 윈도우의 SMB(Server Message Block) 취약점을 이용한 WannaCryptor 랜섬웨어와 같이 인터넷에 연결되어 있기만 해도 랜섬웨어에 감염될 수 있다. 이처럼, 랜섬웨어 감염은 사용자가 주의하더라도 막을 수 있는 것이 아니므로, 랜섬웨어의 탐지 및 차단을 위한 다양한 기술들이 연구되고있다.
예를 들어, 파일 확장자 변경 모니터링을 통한 랜섬웨어 탐지 기법이 제안된바 있다. 랜섬웨어가 파일을 암호화하면서 파일 확장자도 변경시키는 점에서 착안한 기법으로, 기존에 발견된 랜섬웨어 확장자(.aaa, .locky, .crypt 등)를 블랙리스트로 등록하고, 파일의 확장자가 블랙리스트에 등록된 확장자로 변경되는지를 모니터링하며, 파일의 확장자를 변경하는 프로세스를 랜섬웨어로 탐지한다. 또는, 사람이 변경할 수 없는 짧은 시간에 다수의 파일의 확장자를 변경하는 프로세스를 탐지하여, 해당 프로세스를 랜섬웨어로 간주하는 방식이 있다. 그러나, 이와 같은 파일 확장자 변경 모니터링 기반의 랜섬웨어 탐지 기법은, 파일 확장자를 변경하지 않는 랜섬웨어의 탐지는 불가능하다.
또한, 미끼 파일을 이용한 랜섬웨어 탐지 기법이 제안된바 있다. 미끼 폴더를 각 드라이브의 루트(root) 경로에 생성하여, 미끼 폴더 내의 파일들을 암호화 또는 파일명 변경 등을 시도하는 프로세스를 탐지한다. 그러나, 이와 같은 기법은 루트 경로를 나중에 탐색하는 경우 랜섬웨어를 빠르게 탐지하지 못하며, 드라이브의 루트 경로를 탐색하지 않는 랜섬웨어의 탐지는 불가능하다.
또한, 랜섬웨어가 파일을 암호화할 때 발생하는 I/O event 패턴을 이용한 랜섬웨어 탐지 기법이 제안된바 있다. 랜섬웨어가 파일을 암호화할 때 각 파일에 대해 동일한 I/O event 가 발생한다는 점에서 착안한 기법으로, 랜섬웨어의 행위를 분석하여 랜섬웨어가 파일을 암호화할 때 발생하는 I/O event 패턴을 추출하고, 파일 시스템 모니터링을 이용하여 특정 프로세스가 추출한 I/O event 패턴을 발생시키면 해당 프로세스를 랜섬웨어로 간주한다. 그러나, 이와 같은 기법은 파일 암호화 시, 기존의 랜섬웨어의 I/O event 패턴과 다른 패턴을 갖는 신종 랜섬웨어의 탐지는 불가능하다.
본 발명의 일측면은 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고, 이를 이용한 랜섬웨어 탐지 방법을 제공한다.
본 발명의 다른 측면은 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고, 이를 이용한 랜섬웨어 탐지 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체를 제공한다.
본 발명의 또 다른 측면은 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고, 미끼 파일을 컴퓨터 시스템 운영체제에 배치한 뒤 이를 모니터링하여 랜섬웨어를 탐지하는 랜섬웨어 탐지 시스템을 제공한다.
상기 과제를 해결하기 위한 본 발명의 일측면에 따른 랜섬웨어 탐지 방법은, 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고, 상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하며, 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일을 암호화하는 프로세스를 랜섬웨어로 탐지한다.
한편, 상기 컴퓨터 시스템 운영체제의 프로세스 중 랜덤 함수를 이용하며, 파일 탐색 및 입출력 속도가 미리 설정되는 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 랜섬웨어로 탐지하는 것을 더 포함할 수 있다.
또한, 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 것은, 표준 서양 언어 키보드(Windows-1252) 배열 순으로 파일명을 탐색하여 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여, 표준 서양 언어 키보드 배열의 첫 번째 또는 마지막 배열의 문자로 시작하는 파일명을 갖는 상기 미끼 파일을 생성하는 것을 포함할 수 있다.
또한, 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 것은, 파일 크기 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 미리 설정되는 일반 파일의 크기보다 작은 크기를 갖는 복수 개의 미끼 파일을 생성하고, 상기 미리 설정되는 일반 파일의 크기보다 큰 크기를 갖는 하나의 미끼 파일을 생성하는 것을 포함할 수 있다.
또한, 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 것은, 파일 접근 시간 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 파일 접근 시간이 주기적으로 갱신되는 상기 미끼 파일을 생성하는 것을 포함할 수 있다.
또한, 상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하는 것은, 상기 컴퓨터 시스템 운영체제의 루트 디렉터리에 배치하는 것을 포함할 수 있다.
또한, 상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하는 것은, 상기 루트 디렉터리의 하위 디렉터리인 Favorites, Documents 및 Desktop 디렉터리에 배치하는 것을 포함할 수 있다.
한편, 상기 랜섬웨어 탐지 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체일 수 있다.
한편, 상기 과제를 해결하기 위한 본 발명의 다른 측면에 따른 랜섬웨어 탐지 시스템은, 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 미끼 파일 생성 모듈, 상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하는 미끼 파일 배치 모듈 및 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일을 암호화하는 프로세스를 랜섬웨어로 탐지하는 랜섬웨어 탐지 모듈을 포함한다.
한편, 상기 랜섬웨어 탐지 모듈은, 상기 컴퓨터 시스템 운영체제의 프로세스 중 랜덤 함수를 이용하며, 파일 탐색 및 입출력 속도가 미리 설정되는 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 랜섬웨어로 탐지하는 것을 더 포함할 수 있다.
또한, 상기 미끼 파일 생성 모듈은, 표준 서양 언어 키보드(Windows-1252) 배열 순으로 파일명을 탐색하여 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여, 표준 서양 언어 키보드 배열의 첫 번째 또는 마지막 배열의 문자로 시작하는 파일명을 갖는 상기 미끼 파일을 생성하는 것을 포함할 수 있다.
또한, 상기 미끼 파일 생성 모듈은, 파일 크기 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 미리 설정되는 일반 파일의 크기보다 작은 크기를 갖는 복수 개의 미끼 파일을 생성하고, 상기 미리 설정되는 일반 파일의 크기보다 큰 크기를 갖는 하나의 미끼 파일을 생성하는 것을 포함할 수 있다.
또한, 상기 미끼 파일 생성 모듈은, 파일 접근 시간 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 파일 접근 시간이 주기적으로 갱신되는 상기 미끼 파일을 생성하는 것을 포함할 수 있다.
또한, 상기 랜섬웨어 탐지 모듈은, 상기 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일에 대해 읽기, 쓰기, 삭제 및 파일명 변경 중 어느 하나의 작업을 수행하는 프로세스을 랜섬웨어로 탐지할 수 있다.
본 발명에 따르면, 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고, 이를 이용하여 랜섬웨어를 탐지함으로써, 미리 추출되는 패턴에 부합하는 암호화 행위를 하는 기존 랜섬웨어뿐만 아니라 신종 랜섬웨어의 탐지가 가능하다.
아울러, 랜섬웨어를 탐지하여 사용자의 파일이 피해를 받기 이전에 랜섬웨어를 차단할 수 있어 금전적 손해를 방지할 수 있다.
도 1은 본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템에서의 랜섬웨어 탐지를 위한 동작 흐름을 나타낸 개념도이다.
도 2는 본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템의 제어 블록도이다.
도 3은 도 2에 도시된 미끼 파일 생성 모듈 및 미끼 파일 배치 모듈의 동작을 구현하기 위한 소스 코드의 일 예이다.
도 4는 윈도우 운영체제에서 제공하는 이벤트 뷰어의 일 예이다.
도 5 내지 도 10은 랜섬웨어의 특정 파일 암호화 방법을 설명하기 위한 도면이다.
도 11은 본 발명의 일 실시예에 따른 랜섬웨어 탐지 방법의 순서도이다.
후술하는 본 발명에 대한 상세한 설명은, 본 발명이 실시될 수 있는 특정 실시예를 예시로서 도시하는 첨부 도면을 참조한다. 이들 실시예는 당업자가 본 발명을 실시할 수 있기에 충분하도록 상세히 설명된다. 본 발명의 다양한 실시예는 서로 다르지만 상호 배타적일 필요는 없음이 이해되어야 한다. 예를 들어, 여기에 기재되어 있는 특정 형상, 구조 및 특성은 일 실시예와 관련하여 본 발명의 정신 및 범위를 벗어나지 않으면서 다른 실시예로 구현될 수 있다. 또한, 각각의 개시된 실시예 내의 개별 구성요소의 위치 또는 배치는 본 발명의 정신 및 범위를 벗어나지 않으면서 변경될 수 있음이 이해되어야 한다. 따라서, 후술하는 상세한 설명은 한정적인 의미로서 취하려는 것이 아니며, 본 발명의 범위는, 적절하게 설명된다면, 그 청구항들이 주장하는 것과 균등한 모든 범위와 더불어 첨부된 청구항에 의해서만 한정된다. 도면에서 유사한 참조부호는 여러 측면에 걸쳐서 동일하거나 유사한 기능을 지칭한다.
이하, 도면들을 참조하여 본 발명의 바람직한 실시예들을 보다 상세하게 설명하기로 한다.
도 1은 본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템에서의 랜섬웨어 탐지를 위한 동작 흐름을 나타낸 개념도이다.
도 1을 참조하면, 본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템(100)은 컴퓨터 시스템 운영체제(1)에 나타나는 랜섬웨어(10)를 탐지할 수 있다. 랜섬웨어(10)는 사용자의 파일을 암호화하고, 암호화한 파일을 인질로 삼아 사용자에게 금전을 요구하는 악성코드의 한 종류이다. 본 발명의 일 실시에에 따른 랜섬웨어 탐지 시스템(100)은 다양한 컴퓨터 시스템 운영체제(1)에 범용적으로 적용될 수 있다.
본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템(100)은 랜섬웨어(10)의 탐지를 위해 미끼(decoy) 파일(7)을 생성하여 디렉터리에 배치할 수 있다. 특히, 랜섬웨어 탐지 시스템(100)은 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어(10)의 파일 탐색 패턴을 반영하여 미끼 파일(7)을 생성할 수 있으며, 생성한 미끼 파일(7)을 랜섬웨어(10)의 일반적인 탐색 시작 디렉터리에 배치할 수 있다.
또한, 랜섬웨어 탐지 시스템(100)은 컴퓨터 시스템 운영체제(1)에서 제공하는 이벤트 로그를 이용하여 미끼 파일(7)에 대한 작업을 모니터링할 수 있다. 이벤트 로그는 컴퓨터 시스템 운영체제(1)에서 발생하는 모든 작업, 예를 들어, 로그인 시도, 레지스트리 변경, 네트워크 이용, 파일 생성, 파일 접근, 파일 삭제 등이 실시간으로 저장될 수 있다. 이러한 이벤트 로그는 BXML(Binaly XML) 형태로 저장될 수 있으며, 랜섬웨어 탐지 시스템(100)은 이벤트 로그 파일(Security.evtx)(3)을 분석하여 미끼 파일(7)에 대한 암호화 작업을 하는 프로세스를 랜섬웨어(10)로 탐지할 수 있다.
또한, 랜섬웨어 탐지 시스템(100)은 컴퓨터 시스템 운영체제(1)에서 사용되는 랜덤 함수를 모니터링할 수 있다. 컴퓨터 시스템 운영체제(1)의 일반적인 프로세스는 랜덤 함수를 이용하지 않는 반면, 랜섬웨어(10)는 랜덤 함수를 이용하여 암호화할 파일을 탐색할 수 있다. 따라서, 랜섬웨어 탐지 시스템(100)은 컴퓨터 시스템 운영체제(1)에서 사용되는 랜덤 함수를 모니터링하여 랜덤 함수를 이용하는 프로세스를 랜섬웨어(10)로 탐지할 수 있다.
이와 같이, 본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템(100)은 랜섬웨어(10)의 파일 암호화 행위 패턴이 아닌 파일 탐색 자체를 기준으로 한 패턴에 따라 랜섬웨어(10)의 접근을 유도하는 미끼 파일(7)을 생성함으로써, 종래의 행위 패턴이 알려진 랜섬웨어(10)뿐만 아니라 새로운 행위 패턴을 갖는 신종 랜섬웨어(10)의 탐지가 가능하다.
도 2는 본 발명의 일 실시예에 따른 랜섬웨어 탐지 시스템의 제어 블록도이다.
도 2를 참조하면, 랜섬웨어 탐지 시스템(100)은 미끼 파일 생성 모듈(110), 미끼 파일 배치 모듈(120) 및 랜섬웨어 탐지 모듈(130)을 포함할 수 있다. 이하, 랜섬웨어 탐지 시스템(100)의 각 구성요소에 대하여 구체적으로 설명한다.
미끼 파일 생성 모듈(110)은 랜섬웨어(10)의 접근을 유도하는 미끼 파일을 생성할 수 있다. 랜섬웨어는 컴퓨터 시스템 운영체제(1)에서 특정 확장자를 갖는 파일을 탐색하여 암호화할 수 있다. 예를 들어, 랜섬웨어는 컴퓨터 시스템 운영체제(1)에서 ".txt", ".doc", ".docx", ".xls", ".xlsx", ".ppt", ".pptx", ".odt", ".jpg", ".png", ".csv", ".sql", ".mdb", ".sln", ".php", ".asp", ".aspx", ".html", ".xml", ".psd" 등의 확장자를 갖는 파일을 탐색할 수 있다. 따라서, 미끼 파일 생성 모듈(110)은 상술한 확장자를 갖는 미끼 파일을 생성할 수 있다. 이때, 랜섬웨어마다 파일 탐색 순서가 다르지만, 일반적으로 랜섬웨어의 파일 탐색 순서는 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따라 정해질 수 있다. 따라서, 미끼 파일 생성 모듈(110)은 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성할 수 있다.
구체적으로, 미끼 파일 생성 모듈(110)은 파일명에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성할 수 있다. 컴퓨터 시스템 운영체제(1)가 일반적으로 널리 사용되는 윈도우 운영체제인 경우, 랜섬웨어의 파일 탐색 패턴을 분석해보면, 랜섬웨어는 윈도우 운영체제의 표준 서양 언어 키보드(Window-1252) 배열 순서에 따라 파일명을 탐색하여 암호화할 특정 파일을 탐색할 수 있다. 또는, 랜섬웨어는 윈도우 운영체제의 표준 서양 언어 키보드 배열의 역순으로 파일명을 탐색하여, 암호화할 특정 파일을 탐색할 수 있다. 따라서, 미끼 파일 생성 모듈(110)은 표준 서양 언어 키보드 배열의 첫 번째 문자(" ", 0x0020)로 시작하는 파일명을 갖는 미끼 파일을 생성할 수 있다. 또는, 미끼 파일 생성 모듈(110)은 표준 서양 언어 키보드 배열의 첫 번재 문자("\", 0xA3DC)로 시작하는 파일명을 갖는 미끼 파일을 생성할 수 있다.
이와 같은 경우, 랜섬웨어가 표준 서양 언어 키보드 배열 순 또는 역순으로 파일명을 탐색하면, 표준 서양 언어 키보드 배열의 첫 번째 또는 마지막 문자로 시작하는 파일명을 갖는 미끼 파일이 가장 먼저 탐색되어 암호화될 수 있다.
또한, 미끼 파일 생성 모듈(110)은 파일 크기에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성할 수 있다. 랜섬웨어의 파일 탐색 패턴을 분석해보면, 랜섬웨어는 파일 크기가 큰 순으로 암호화할 특정 파일을 탐색할 수 있다. 또는, 랜섬웨어는 파일 크기가 작은 순으로 암호화할 특정 파일을 탐색할 수 있다. 따라서, 미끼 파일 생성 모듈(110)은 미리 설정되는 일반 파일의 크기보다 작은 크기를 갖는 미끼 파일을 복수 개 생성하고, 일반 파일의 크기보다 큰 크기를 갖는 하나의 미끼 파일을 생성할 수 있다.
이와 같은 경우, 랜섬웨어가 파일 크기가 큰 순으로 특정 파일을 탐색하면, 일반 파일의 크기보다 큰 미끼 파일이 가장 먼저 탐색되어 암호화될 수 있다. 또는, 랜섬웨어가 파일 크기가 작은 순으로 특정 파일을 탐색하면, 일반 파일의 크기보다 작은 미끼 파일이 가장 먼저 탐색되어 암호화될 수 있다. 이때, 일반 파일의 크기보다 작은 미끼 파일은 랜섬웨어에 의해 암호화되는데에 걸리는 시간이 일반 파일에 비해 짧아, 랜섬웨어 탐지 시스템(100)에서 랜섬웨어의 탐지 또는 차단 전에 해당 미끼파일의 암호화가 완료될 수 있다. 따라서, 미끼 파일 생성 모듈(110)은 일반 파일의 크기보다 작은 크기를 갖는 미끼 파일을 복수 개 생성하는데, 랜섬웨어가 복수 개의 미끼 파일의 암호화를 완료하고, 일반 파일을 암호화하기 전에 해당 랜섬웨어의 탐지 또는 차단이 보장되며, 컴퓨터 시스템 운영체제(1)의 용량을 많이 차지하지 않도록, 그 개수를 설정할 수 있다.
또한, 미끼 파일 생성 모듈(110)은 파일 접근 시간에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성할 수 있다. 랜섬웨어의 파일 탐색 패턴을 분석해보면, 랜섬웨어는 파일 접근 시간이 최근인 순으로 암호화할 특정 파일을 탐색할 수 있다. 파일 접근 시간이 최근일수록 사용자에게 중요한 파일일 가능성이 높기 때문이다. 따라서, 미끼 파일 생성 모듈(110)은 파일 접근 시간이 주기적으로 갱신되는 미끼 파일을 생성할 수 있다.
미끼 파일 배치 모듈(120)은 미끼 파일 생성 모듈(110)에서 생성하는 적어도 하나의 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치할 수 있다. 랜섬웨어가 특정 확장자를 갖는 파일을 탐색하기 위해, 탐색을 시작하는 디렉터리는 다양하다. 컴퓨터 시스템 운영체제(1)가 일반적으로 널리 사용되는 윈도우 운영체제인 경우, 랜섬웨어는 윈도우 운영체제의 루트 디렉터리인 C:/ 부터 탐색을 시작하는 것이 대부분이며, 일부 랜섬웨어는 그 하위 디렉터리인 C:/User/ 부터 탐색을 시작한다. 또는, 일부 랜섬웨어는 그 하위 디렉터리인 C:/Users/<ALL USER>/Favorites, C:/Users/<ALL USER>/Documents, C:/Users/ <ALL USER>/Desktop 등부터 탐색을 시작한다. 따라서, 미끼 파일 배치 모듈(120)은 C:/, C:/User/, C:/Users/<ALL USER>/Favorites, C:/Users/<ALL USER>/Documents, C:/Users/ <ALL USER>/Desktop 디렉터리에 미끼 파일을 배치함으로써, 컴퓨터 시스템 운영체제(1)의 저장 공간의 낭비를 줄일 수 있다.
이와 같은, 미끼 파일 생성 모듈(110) 및 미끼 파일 배치 모듈(120)에서의 랜섬웨어의 파일 탐색 패턴을 반영한 미끼 파일 생성 및 배치 과정은 도 3에 자세히 개시되어있다.
도 3은 도 2에 도시된 미끼 파일 생성 모듈 및 미끼 파일 배치 모듈의 동작을 구현하기 위한 소스 코드의 일 예이다.
도 3에 도시된 소스 코드에 대하여 간단히 설명하면, 미끼 파일 배치 모듈(120)은 윈도우 운영체제의 사용자 계정 이름을 획득할 수 있다. 미끼 파일 배치 모듈(120)은 사용자 계정 이름으로부터 완성되는 랜섬웨어의 탐색 시작 디렉터리에 미끼 파일을 배치할 수 있다. 미끼 파일 배치 모듈(120)은 디렉터리에 미끼 폴더를 생성할 수 있으며, 그 안에 미끼 파일 생성 모듈(110)에서 생성하는 미끼 파일을 배치할 수 있다. 미끼 파일 생성 모듈(110)은 ".doc"의 확장자를 갖는 미끼 파일을 생성할 수 있다. 미끼 파일 생성 모듈(110)은 상술한 것처럼, 파일명, 파일 크기 및 파일 접근 시간에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성할 수 있다.
한편, 랜섬웨어 탐지 모듈(130)은 미끼 파일을 변경하는 프로세스를 랜섬웨어로 탐지할 수 있다. 이를 위해, 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 이벤트 로그를 이용하여 미끼 파일을 암호화하는 프로세스를 모니터링할 수 있다. 컴퓨터 시스템 운영체제(1)의 이벤트 로그는 컴퓨터 시스템에서 발생하는 모든 작업이 저장될 수 있다. 예를 들어, 이벤트 로그에는 로그인 시도, 레지스트리 변경, 네트워크 이용, 파일 생성, 접근, 삭제뿐만 아니라, 이벤트 ID, 프로세스 ID, 프로세스 이름, 개체 이름, 개체에 대한 행위 등의 정보가 실시간으로 저장될 수 있다. 이러한 이벤트 로그는 BXML(Binaly XML) 형태로 저장될 수 있다. 컴퓨터 시스템 운영체제(1)가 일반적으로 널리 사용되는 윈도우 운영체제인 경우, 이러한 이벤트 로그에 저장되는 정보를 분석하여 이벤트 뷰어로 제공할 수 있다.
도 4는 윈도우 운영체제에서 제공하는 이벤트 뷰어의 일 예이다.
윈도우 운영체제는 도 4와 같은 이벤트 뷰어를 제공할 수 있다. 도 4를 참조하면, 파일 삭제 이벤트를 분석하여 제공하고 있는데, 프로세스 ID가 0x4f78인 프로세스 file_create_test.exe 가 aaaaa.txt 파일을 삭제하는 것이 확인된다.
랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 이벤트 로그를 분석하여 미끼 파일에 대해 읽기, 쓰기, 삭제, 파일명 변경 등의 작업을 수행하는 프로세스를 랜섬웨어로 탐지할 수 있다. 이와 관련하여 도 5 내지 도 11을 참조하여 설명한다.
도 5 내지 도 10은 랜섬웨어의 특정 파일 암호화 방법을 설명하기 위한 도면이다.
먼저, 도 5를 참조하면, 랜섬웨어는 "write-in-place" 방법으로 파일을 암호화할 수 있다. 랜섬웨어는 임시 파일(tmp.txt)을 생성하고, 목표 파일(a.txt)을 암호화하고 그 데이터를 임시 파일(tmp.txt)에 저장할 수 있다. 그리고, 랜섬웨어는 임시 파일(tmp.txt)에 있는 내용을 목표 파일(a.txt)에 덮어쓸 수 있다. 이와 같은 "write-in-place"암호화 방식의 단계는 도 6에 자세히 개시되어 있다. 이와 같은 방식으로 파일 암호화를 수행하는 랜섬웨어를 탐지하기 위해서는, 이벤트 로그의 읽기 및 쓰기를 감시하는 것이 바람직하다.
또한, 도 7을 참조하면, 랜섬웨어는 "rename-and-encrypt" 방법으로 파일을 암호화할 수 있다. 랜섬웨어는 목표 파일(a.txt)의 이름을 다른 이름으로 변경한 파일(random.txt)을 생성하고, 그 파일(random.txt)을 상술한 "write-in-place" 방법으로 암호화한 뒤, 다시 이름을 목표 파일(a.txt)의 이름으로 변경할 수 있다. 이와 같은 "rename-and-encrypt" 암호화 방식의 단계는 도 8에 자세히 개시되어 있다. 이와 같은 방식으로 파일 암호화를 수행하는 랜섬웨어를 탐지하기 위해서는, 이벤트 로그의 읽기 및 쓰기뿐만 아니라, 파일 이름 변경을 감시하는 것이 바람직하다.
또한, 도 9를 참조하면, 랜섬웨어는 "create-encrypt-and-delete" 방법으로 파일을 암호화할 수 있다. 랜섬웨어는 새로운 파일(a.txt.encrypt)을 생성하고, 암호화할 파일(a.txt)을 정해진 크기만큼 읽은 뒤 암호화하여 새로운 파일(a.txt.encrypt)에 저장하고, 읽은 파일을 지울 수 있다. 이와 같은 "create-encrypt-and-delete"암호화 방식의 단계는 도 10에 자세히 개시되어 있다. 이와 같은 방식으로 파일 암호화를 수행하는 랜섬웨어를 탐지하기 위해서는, 이벤트 로그의 읽기, 쓰기, 삭제 및 암호화 등을 감시하는 것이 바람직하다.
이와 같이, 랜섬웨어는 목표 파일에 읽기, 쓰기, 삭제, 파일명 변경 등의 작업을 수행하여 목표 파일을 변경할 수 있다. 따라서, 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 이벤트 로그를 분석하여 미끼 파일에 대해 읽기, 쓰기, 삭제, 파일명 변경 등의 작업을 수행하는 프로세스를 랜섬웨어로 간주할 수 있다.
이에 더하여, 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 프로세스 중 랜덤 함수를 이용하며, 파일 탐색 및 입출력 속도가 미리 설정되는 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 랜섬웨어로 탐지할 수 있다. 컴퓨터 시스템 운영체제(1)의 일반 프로세스는 랜덤 함수를 사용하지 않는다. 반면, 랜섬웨어는 랜덤 함수를 이용하여 암호화할 파일을 탐색할 수 있다. 또한, 컴퓨터 시스템 운영체제(1)의 일반 프로세스 중 랜섬웨어보다 빠른 속도로 파일 탐색 및 입출력을 수행하는 프로세스는 거의 없다. 따라서, 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 랜덤 함수를 모니터링하여 랜덤 함수를 이용하는 프로세스를 검색할 수 있으며, 해당 프로세스 중 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 랜섬웨어로 탐지할 수 있다.
이하에서는, 본 발명의 일 실시예에 따른 랜섬웨어 탐지 방법에 대하여 설명한다. 본 발명의 일 실시예에 다른 랜섬웨어 탐지 방법은 도 2에 도시된 랜섬웨어 탐지 시스템(100)과 실질적으로 동일한 구성에서 진행될 수 있다. 따라서, 도 2의 랜섬웨어 탐지 시스템(100)과 동일한 구성요소는 동일한 도면부호를 부여하고, 반복되는 설명은 생략하기로 한다.
도 11은 본 발명의 일 실시예에 따른 랜섬웨어 탐지 방법의 순서도이다.
도 11을 참조하면, 미끼 파일 생성 모듈(110)은 랜섬웨어의 파일 탐색 패턴을 반영한 미끼 파일을 생성할 수 있다(300). 미끼 파일 생성 모듈(110)은 파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성할 수 있다. 구체적으로, 미끼 파일 생성 모듈(110)은 윈도우 운영체제의 표준 서양 언어 키보드 배열의 첫 번째 또는 마지막 배열의 문자로 시작하는 파일명을 갖는 미끼 파일을 생성할 수 있다. 또는, 미끼 파일 생성 모듈(110)은 미리 설정되는 일반 파일의 크기보다 작은 크기를 갖는 복수 개의 미끼 파일을 생성하고, 미리 설정되는 일반 파일의 크기보다 큰 크기를 갖는 하나의 미끼 파일을 생성할 수 있다. 또는, 미끼 파일 생성 모듈(110)은 파일 접근 시간이 주기적으로 갱신되는 미끼 파일을 생성할 수 있다.
또한, 미끼 파일 배치 모듈(120)은 랜섬웨어의 탐색 시작 디렉터리에 미끼 파일을 배치할 수 있다(310). 미끼 파일 배치 모듈(120)은 C:/, C:/User/, C:/Users/<ALL USER>/Favorites, C:/Users/<ALL USER>/Documents, C:/Users/ <ALL USER>/Desktop 디렉터리에 미끼 파일을 배치할 수 있다.
또한, 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 이벤트 로그를 분석하여(320), 미끼 파일을 암호화하는 프로세스가 탐지되면(330), 해당 프로세스를 랜섬웨어로 탐지할 수 있다(340). 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 이벤트 로그에서, 미끼 파일에 대해 읽기, 쓰기, 삭제, 파일명 변경 등의 작업을 수행하는 프로세스를 미끼 파일을 암호화하는 프로세스로 간주하여 랜섬웨어로 탐지할 수 있다. 또한, 랜섬웨어 탐지 모듈(130)은 컴퓨터 시스템 운영체제(1)의 프로세스 중 랜덤 함수를 이용하며, 파일 탐색 및 입출력 속도가 미리 설정되는 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 미끼 파일을 암호화하는 프로세스로 간주하여 랜섬웨어로 탐지할 수 있다.
이와 같은, 랜섬웨어 탐지 방법은 애플리케이션으로 구현되거나 다양한 컴퓨터 구성요소를 통하여 수행될 수 있는 프로그램 명령어의 형태로 구현되어 컴퓨터 판독 가능한 기록 매체에 기록될 수 있다. 상기 컴퓨터 판독 가능한 기록 매체는 프로그램 명령어, 데이터 파일, 데이터 구조 등을 단독으로 또는 조합하여 포함할 수 있다.
상기 컴퓨터 판독 가능한 기록 매체에 기록되는 프로그램 명령어는 본 발명을 위하여 특별히 설계되고 구성된 것들이거니와 컴퓨터 소프트웨어 분야의 당업자에게 공지되어 사용 가능한 것일 수도 있다.
컴퓨터 판독 가능한 기록 매체의 예에는, 하드 디스크, 플로피 디스크 및 자기 테이프와 같은 자기 매체, CD-ROM, DVD 와 같은 광기록 매체, 플롭티컬 디스크(floptical disk)와 같은 자기-광 매체(magneto-optical media), 및 ROM, RAM, 플래시 메모리 등과 같은 프로그램 명령어를 저장하고 수행하도록 특별히 구성된 하드웨어 장치가 포함된다.
프로그램 명령어의 예에는, 컴파일러에 의해 만들어지는 것과 같은 기계어 코드 뿐만 아니라 인터프리터 등을 사용해서 컴퓨터에 의해서 실행될 수 있는 고급 언어 코드도 포함된다. 상기 하드웨어 장치는 본 발명에 따른 처리를 수행하기 위해 하나 이상의 소프트웨어 모듈로서 작동하도록 구성될 수 있으며, 그 역도 마찬가지이다.
이상에서는 실시예들을 참조하여 설명하였지만, 해당 기술 분야의 숙련된 당업자는 하기의 특허 청구범위에 기재된 본 발명의 사상 및 영역으로부터 벗어나지 않는 범위 내에서 본 발명을 다양하게 수정 및 변경시킬 수 있음을 이해할 수 있을 것이다.
1: 컴퓨터 시스템 운영체제
3: 이벤트 로그 파일
7: 미끼 파일
10: 랜섬웨어
100: 랜섬웨어 탐지 시스템

Claims (14)

  1. 컴퓨터 시스템 운영체제에서 특정 파일을 탐색하여 암호화하는 악성 프로세스인 랜섬웨어 탐지 방법에 있어서,
    파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하고,
    상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하며,
    상기 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일을 암호화하는 프로세스를 랜섬웨어로 탐지하는 랜섬웨어 탐지 방법.
  2. 제1항에 있어서,
    상기 컴퓨터 시스템 운영체제의 프로세스 중 랜덤 함수를 이용하며, 파일 탐색 및 입출력 속도가 미리 설정되는 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 랜섬웨어로 탐지하는 것을 더 포함하는 랜섬웨어 탐지 방법.
  3. 제1항에 있어서,
    파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 것은,
    표준 서양 언어 키보드(Windows-1252) 배열 순으로 파일명을 탐색하여 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여, 표준 서양 언어 키보드 배열의 첫 번째 또는 마지막 배열의 문자로 시작하는 파일명을 갖는 상기 미끼 파일을 생성하는 것을 포함하는 랜섬웨어 탐지 방법.
  4. 제1항에 있어서,
    파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 것은,
    파일 크기 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 미리 설정되는 일반 파일의 크기보다 작은 크기를 갖는 복수 개의 미끼 파일을 생성하고, 상기 미리 설정되는 일반 파일의 크기보다 큰 크기를 갖는 하나의 미끼 파일을 생성하는 것을 포함하는 랜섬웨어 탐지 방법.
  5. 제1항에 있어서,
    파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 것은,
    파일 접근 시간 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 파일 접근 시간이 주기적으로 갱신되는 상기 미끼 파일을 생성하는 것을 포함하는 랜섬웨어 탐지 방법.
  6. 제1항에 있어서,
    상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하는 것은,
    상기 컴퓨터 시스템 운영체제의 루트 디렉터리에 배치하는 것을 포함하는 랜섬웨어 탐지 방법.
  7. 제6항에 있어서,
    상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하는 것은,
    상기 루트 디렉터리의 하위 디렉터리인 Favorites, Documents 및 Desktop 디렉터리에 배치하는 것을 포함하는 랜섬웨어 탐지 방법.
  8. 제1항 내지 제7항 중 어느 하나의 항에 따른 랜섬웨어 탐지 방법을 수행하기 위한, 컴퓨터 프로그램이 기록된 컴퓨터로 판독 가능한 기록매체.
  9. 컴퓨터 시스템 운영체제에서 특정 파일을 탐색하여 암호화하는 악성 프로세스인 랜섬웨어 탐지 시스템에 있어서,
    파일명, 파일 크기 및 파일 접근 시간 중 적어도 하나에 따른 랜섬웨어의 파일 탐색 패턴을 반영하여 미끼 파일을 생성하는 미끼 파일 생성 모듈;
    상기 미끼 파일을 랜섬웨어의 모든 탐색 시작 디렉터리에 배치하는 미끼 파일 배치 모듈; 및
    상기 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일을 암호화하는 프로세스를 랜섬웨어로 탐지하는 랜섬웨어 탐지 모듈을 포함하는 랜섬웨어 탐지 시스템.
  10. 제9항에 있어서,
    상기 랜섬웨어 탐지 모듈은,
    상기 컴퓨터 시스템 운영체제의 프로세스 중 랜덤 함수를 이용하며, 파일 탐색 및 입출력 속도가 미리 설정되는 일반 프로세스의 파일 탐색 및 입출력 속도보다 빠른 프로세스를 랜섬웨어로 탐지하는 것을 더 포함하는 랜섬웨어 탐지 시스템.
  11. 제9항에 있어서,
    상기 미끼 파일 생성 모듈은,
    표준 서양 언어 키보드(Windows-1252) 배열 순으로 파일명을 탐색하여 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여, 표준 서양 언어 키보드 배열의 첫 번째 또는 마지막 배열의 문자로 시작하는 파일명을 갖는 상기 미끼 파일을 생성하는 것을 포함하는 랜섬웨어 탐지 시스템.
  12. 제9항에 있어서,
    상기 미끼 파일 생성 모듈은,
    파일 크기 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 미리 설정되는 일반 파일의 크기보다 작은 크기를 갖는 복수 개의 미끼 파일을 생성하고, 상기 미리 설정되는 일반 파일의 크기보다 큰 크기를 갖는 하나의 미끼 파일을 생성하는 것을 포함하는 랜섬웨어 탐지 시스템.
  13. 제9항에 있어서,
    상기 미끼 파일 생성 모듈은,
    파일 접근 시간 순으로 암호화할 특정 파일을 탐색하는 상기 랜섬웨어의 파일 탐색 패턴을 반영하여 파일 접근 시간이 주기적으로 갱신되는 상기 미끼 파일을 생성하는 것을 포함하는 랜섬웨어 탐지 시스템.
  14. 제9항에 있어서,
    상기 랜섬웨어 탐지 모듈은,
    상기 컴퓨터 시스템 운영체제의 이벤트 로그를 이용하여 상기 미끼 파일에 대해 읽기, 쓰기, 삭제 및 파일명 변경 중 어느 하나의 작업을 수행하는 프로세스을 랜섬웨어로 탐지하는 랜섬웨어 탐지 시스템.
KR1020170182897A 2017-12-28 2017-12-28 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템 KR102000369B1 (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020170182897A KR102000369B1 (ko) 2017-12-28 2017-12-28 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020170182897A KR102000369B1 (ko) 2017-12-28 2017-12-28 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템

Publications (2)

Publication Number Publication Date
KR20190080446A true KR20190080446A (ko) 2019-07-08
KR102000369B1 KR102000369B1 (ko) 2019-07-15

Family

ID=67256734

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020170182897A KR102000369B1 (ko) 2017-12-28 2017-12-28 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템

Country Status (1)

Country Link
KR (1) KR102000369B1 (ko)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113626811A (zh) * 2021-07-19 2021-11-09 武汉大学 基于诱饵文件的勒索软件早期检测方法及系统
CN114175575A (zh) * 2020-07-02 2022-03-11 华为技术有限公司 用于生成、使用和优化蜜罐的设备和方法

Families Citing this family (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR102101250B1 (ko) 2019-09-11 2020-04-20 주식회사 아신아이 파일 시그니처 분석을 통한 프로세스 역할 기반 문서 파일 접근 통제 시스템
KR102316404B1 (ko) 2019-12-09 2021-10-22 고려대학교 산학협력단 확장자 랜덤화를 통한 랜섬웨어 피해 방어 방법, 이를 수행하기 위한 기록 매체 및 장치

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3947110B2 (ja) * 2001-04-10 2007-07-18 インターナショナル・ビジネス・マシーンズ・コーポレーション おとりとして無差別システムを使用してネットワーク上の特定のコンピュータ・ウィルスを検出、通知、除去する方法および装置
JP2016033690A (ja) * 2012-12-26 2016-03-10 三菱電機株式会社 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
KR101685014B1 (ko) * 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치
KR101710928B1 (ko) * 2015-09-04 2017-03-13 숭실대학교산학협력단 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP3947110B2 (ja) * 2001-04-10 2007-07-18 インターナショナル・ビジネス・マシーンズ・コーポレーション おとりとして無差別システムを使用してネットワーク上の特定のコンピュータ・ウィルスを検出、通知、除去する方法および装置
JP2016033690A (ja) * 2012-12-26 2016-03-10 三菱電機株式会社 不正侵入検知装置、不正侵入検知方法、不正侵入検知プログラム及び記録媒体
KR101710928B1 (ko) * 2015-09-04 2017-03-13 숭실대학교산학협력단 모바일 단말기의 os 플랫폼에서의 악성 코드 방지 방법, 이를 수행하기 위한 기록 매체 및 시스템
KR101685014B1 (ko) * 2016-02-19 2016-12-12 주식회사 블랙포트시큐리티 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114175575A (zh) * 2020-07-02 2022-03-11 华为技术有限公司 用于生成、使用和优化蜜罐的设备和方法
CN114175575B (zh) * 2020-07-02 2023-04-18 华为技术有限公司 用于生成、使用和优化蜜罐的设备和方法
CN113626811A (zh) * 2021-07-19 2021-11-09 武汉大学 基于诱饵文件的勒索软件早期检测方法及系统

Also Published As

Publication number Publication date
KR102000369B1 (ko) 2019-07-15

Similar Documents

Publication Publication Date Title
US11611586B2 (en) Systems and methods for detecting a suspicious process in an operating system environment using a file honeypots
EP3316166B1 (en) File-modifying malware detection
KR102000369B1 (ko) 랜섬웨어 탐지 방법, 이를 수행하기 위한 기록매체 및 램섬웨어 탐지 시스템
JP4828199B2 (ja) アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法
US11244051B2 (en) System and methods for detection of cryptoware
US8224796B1 (en) Systems and methods for preventing data loss on external devices
US9571509B1 (en) Systems and methods for identifying variants of samples based on similarity analysis
Lee et al. How to make efficient decoy files for ransomware detection?
US8281410B1 (en) Methods and systems for providing resource-access information
US10509905B2 (en) Ransomware mitigation system
EP3756121B1 (en) Anti-ransomware systems and methods using a sinkhole at an electronic device
KR101685014B1 (ko) 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치
WO2008048665A2 (en) Method, system, and computer program product for malware detection analysis, and response
US20200327227A1 (en) Method of speeding up a full antivirus scan of files on a mobile device
US9519780B1 (en) Systems and methods for identifying malware
KR101737794B1 (ko) 사용자파일을 암호화하는 악성코드의 모니터링 장치 및 방법
US20130046741A1 (en) Methods and systems for creating and saving multiple versions of a computer file
CN111382126B (zh) 删除文件及阻碍文件恢复的系统和方法
US9003533B1 (en) Systems and methods for detecting malware
KR20220085786A (ko) 랜섬웨어 방지
Netto et al. An integrated approach for detecting ransomware using static and dynamic analysis
KR102615556B1 (ko) 키 관리 서버를 이용한 데이터의 실시간 암복호화 보안 시스템 및 방법
CN116561744A (zh) 一种基于诱饵文件监控的勒索病毒行为检测方法及系统
Park et al. An enhanced security framework for reliable Android operating system
Lemmou et al. An overview on Spora ransomware

Legal Events

Date Code Title Description
E701 Decision to grant or registration of patent right
GRNT Written decision to grant