KR20220098952A - 랜섬웨어 공격 데이터 복원 장치 및 방법 - Google Patents

랜섬웨어 공격 데이터 복원 장치 및 방법 Download PDF

Info

Publication number
KR20220098952A
KR20220098952A KR1020210000871A KR20210000871A KR20220098952A KR 20220098952 A KR20220098952 A KR 20220098952A KR 1020210000871 A KR1020210000871 A KR 1020210000871A KR 20210000871 A KR20210000871 A KR 20210000871A KR 20220098952 A KR20220098952 A KR 20220098952A
Authority
KR
South Korea
Prior art keywords
ransomware
ransomware attack
encryption
data
module
Prior art date
Application number
KR1020210000871A
Other languages
English (en)
Inventor
강동욱
최병철
이진용
김대원
김익균
이상수
최용제
Original Assignee
한국전자통신연구원
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by 한국전자통신연구원 filed Critical 한국전자통신연구원
Priority to KR1020210000871A priority Critical patent/KR20220098952A/ko
Publication of KR20220098952A publication Critical patent/KR20220098952A/ko

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

랜섬웨어 공격 데이터 복원 장치 및 방법이 개시된다. 본 발명의 실시예에 따른 랜섬웨어 공격 데이터 복원 장치는, 적어도 하나의 프로그램이 기록된 메모리 및 프로그램을 실행하는 프로세서를 포함하며, 프로그램은, CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계, 랜섬웨어 공격을 탐지함에 따라, 메모리 스냅샷을 작성하는 단계 및 작성된 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호화하는 단계를 수행할 수 있다.

Description

랜섬웨어 공격 데이터 복원 장치 및 방법{Apparatus and Method for Decoding Data by Ransomware}
기재된 실시예는 랜섬웨어 공격을 탐지하여 랜섬웨어에 의해 암호화된 데이터를 복호화하는 기술에 관한 것이다.
랜섬웨어는 컴퓨터 시스템을 감염시켜 파일 암호화 등의 방법으로 사용자의 접근을 제한하고 복원 조건으로 몸값을 요구하는 악성코드이다.
랜섬웨어에 의해 이미 암호화된 데이터는 복구키 없이는 복원이 불가능하기 때문에 감염 예방을 위한 조치를 취하거나 정기적으로 중요 데이터를 백업하는 것이 최선의 대응 방법이었다.
하지만 이러한 사전 예방 방식은 랜섬웨어 방지에는 한계가 있으며, 공격으로 인해 암호화된 데이터의 복원이 가능한 기술이 요구된다.
한국특허출원번호 10-2018-0014852호
기재된 실시예는 랜섬웨어 공격에 대비하여 중요 데이터를 백업하는 사전 예방 방식의 한계를 극복하는데 그 목적이 있다.
실시예에 따른 랜섬웨어 공격 데이터 복원 장치는, 적어도 하나의 프로그램이 기록된 메모리 및 프로그램을 실행하는 프로세서를 포함하며, 프로그램은, CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계, 랜섬웨어 공격을 탐지함에 따라, 메모리 스냅샷을 작성하는 단계 및 작성된 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호화하는 단계를 수행할 수 있다.
이때, 탐지하는 단계는, 랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링할 수 있다.
이때, 탐지하는 단계는, 랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단할 수 있다.
이때, 탐지하는 단계는, CPU 코어에 의해 랜섬웨어의 암호모듈을 수행 중인 것으로 판단될 경우, 인터럽트 신호를 발생시켜 CPU 코어에서 실행되는 코드를 중단시킬 수 있다.
이때, 메모리 스냅샷을 작성하는 단계는, On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성할 수 있다.
이때, 메모리 스냅샷은, 랜섬웨어의 암호모듈, 암호키 및 암호화된 데이터를 포함할 수 있다.
이때, 복호화하는 단계는, 메모리 스냅샷에서 추출한 암호모듈에서 복호화 모듈을 구성하는 단계 및 암호화된 데이터를 암호키와 복호화 모듈을 이용하여 암호화되기 전의 데이터로 복원하는 단계를 포함할 수 있다.
실시예에 따른 랜섬웨어 공격 데이터 복원 방법은, CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계, 랜섬웨어 공격을 탐지함에 따라, 메모리 스냅샷을 작성하는 단계 및 작성된 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호화하는 단계를 포함할 수 있다.
이때, 탐지하는 단계는, 랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링할 수 있다.
이때, 탐지하는 단계는, 랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단할 수 있다.
이때, 탐지하는 단계는, CPU 코어에 의해 랜섬웨어의 암호모듈을 수행 중인 것으로 판단될 경우, 인터럽트 신호를 발생시켜 CPU 코어에서 실행되는 코드를 중단시킬 수 있다.
이때, 메모리 스냅샷을 작성하는 단계는, On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성할 수 있다.
이때, 메모리 스냅샷은, 랜섬웨어의 암호모듈, 암호키 및 암호화된 데이터를 포함할 수 있다.
이때, 복호화하는 단계는, 메모리 스냅샷에서 추출한 암호모듈에서 복호화 모듈을 구성하는 단계 및 암호화된 데이터를 암호키와 복호화 모듈을 이용하여 암호화되기 전의 데이터로 복원하는 단계를 포함할 수 있다.
실시예에 따른 랜섬웨어 공격 데이터 복원 방법으로, CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계, 랜섬웨어 공격을 탐지함에 따라, 인터럽트 신호를 발생시켜 CPU 코어에서 실행되는 코드를 중단시키는 단계, 중단된 CPU 코어의 메모리 스냅샷을 작성하는 단계, 메모리 스냅샷에서 암호 모듈, 암호키 및 암호화 데이터를 추출하는 단계, 추출된 암호 모듈로부터 복호 모듈을 구성하는 단계 및 구성된 복호 모듈과 암호키로 암호화 데이터를 복호화하는 단계를 포함할 수 있다.
이때, 탐지하는 단계는, 랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링할 수 있다.
이때, 탐지하는 단계는, 랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단할 수 있다.
이때, 메모리 스냅샷을 작성하는 단계는, On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성할 수 있다.
실시예에 따라, 랜섬웨어 공격에 대비하여 중요 데이터를 백업하는 사전 예방 방식의 한계를 극복할 수 있다. 즉, 랜섬웨어에 감염된 컴퓨터 시스템의 피해를 최소화하고 공격에 의해 암호화된 데이터의 복원 확률을 높일 수 있다.
도 1은 실시예에 따른 랜섬웨어 공격 데이터 복원 장치의 개략적인 블록 구성도이다.
도 2는 실시예에 따른 메모리 스냅샷의 예시도이다.
도 3은 실시예에 따른 랜섬웨어 공격 데이터 복원 방법을 설명하기 위한 순서도이다.
도 4는 실시예에 따른 랜섬웨어 탐지 단계를 설명하기 위한 순서도이다.
도 5는 실시예에 따른 암호화된 데이터를 복호화하는 단계를 설명하기 위한 순서도이다.
도 6은 실시예에 따른 컴퓨터 시스템 구성을 나타낸 도면이다.
본 발명의 이점 및 특징, 그리고 그것들을 달성하는 방법은 첨부되는 도면과 함께 상세하게 후술되어 있는 실시예들을 참조하면 명확해질 것이다. 그러나 본 발명은 이하에서 개시되는 실시예들에 한정되는 것이 아니라 서로 다른 다양한 형태로 구현될 것이며, 단지 본 실시예들은 본 발명의 개시가 완전하도록 하며, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 발명의 범주를 완전하게 알려주기 위해 제공되는 것이며, 본 발명은 청구항의 범주에 의해 정의될 뿐이다. 명세서 전체에 걸쳐 동일 참조 부호는 동일 구성 요소를 지칭한다.
비록 "제1" 또는 "제2" 등이 다양한 구성요소를 서술하기 위해서 사용되나, 이러한 구성요소는 상기와 같은 용어에 의해 제한되지 않는다. 상기와 같은 용어는 단지 하나의 구성요소를 다른 구성요소와 구별하기 위하여 사용될 수 있다. 따라서, 이하에서 언급되는 제1 구성요소는 본 발명의 기술적 사상 내에서 제2 구성요소일 수도 있다.
본 명세서에서 사용된 용어는 실시예를 설명하기 위한 것이며 본 발명을 제한하고자 하는 것은 아니다. 본 명세서에서, 단수형은 문구에서 특별히 언급하지 않는 한 복수형도 포함한다. 명세서에서 사용되는 "포함한다(comprises)" 또는 "포함하는(comprising)"은 언급된 구성요소 또는 단계가 하나 이상의 다른 구성요소 또는 단계의 존재 또는 추가를 배제하지 않는다는 의미를 내포한다.
다른 정의가 없다면, 본 명세서에서 사용되는 모든 용어는 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자에게 공통적으로 이해될 수 있는 의미로 해석될 수 있다. 또한, 일반적으로 사용되는 사전에 정의되어 있는 용어들은 명백하게 특별히 정의되어 있지 않는 한 이상적으로 또는 과도하게 해석되지 않는다.
이하에서는, 도 1 내지 도 6을 참조하여 실시예에 따른 랜섬웨어 공격 데이터 복원 장치 및 방법이 상세히 설명된다.
도 1은 실시예에 따른 랜섬웨어 공격 데이터 복원 장치의 개략적인 블록 구성도이고, 도 2는 실시예에 따른 메모리 스냅샷의 예시도이다.
도 1을 참조하면, 실시예에 따른 랜섬웨어 공격 데이터 복원 장치는 랜섬웨어 탐지모듈(110), 랜섬웨어 대응모듈(120) 및 랜섬웨어 분석엔진(130)을 포함할 수 있다.
랜섬웨어 탐지모듈(110)은, Secure CPU(10)의 코어(Core)(11)를 모니터링하도록 CPU(10) 상에 설치되어, 코어(11)의 랜섬웨어 공격 여부를 탐지한다.
이때, 랜섬웨어 탐지모듈(110)은, 랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링하여 랜섬웨어 공격 여부를 판단할 수 있다.
즉, 랜섬웨어에 감염될 경우, Secure CPU(10)의 코어(Core)(11)에서는 감염된 랜섬웨어 암호모듈에 의해 데이터 암호화를 수행하게 되므로 암호화 연산 빈도가 증가하기 때문이다.
이때, 랜섬웨어 탐지모듈(110)은, 랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단할 수 있다.
즉, 암호화 연산은 다수의 XOR 명령을 수반하는 등 고유의 특징을 가지기 때문이다.
랜섬웨어 탐지모듈(110)은, CPU 코어(11)에 의해 랜섬웨어의 암호모듈을 수행 중인 것으로 판단될 경우, 인터럽트 신호를 발생시켜 CPU 코어(11)에서 실행되는 코드를 중단시킬 수 있다. 아울러, 랜섬웨어 탐지모듈(110)은, 랜섬웨어 대응모듈(120)을 구동시킨다.
랜섬웨어 대응모듈(120)은, CPU 코어(11)로부터 메모리 스냅샷을 판독하여 작성한다.
이때, 메모리(미도시)는 CPU 코어(11)에서 프로그램 등을 실행할 때 데이터 등이 로딩되는 메모리로서, 예를 들면, 램(RAM: Random Access Memory) 또는 롬(ROM: Read Only Memory)일 수 있다. 따라서, 랜섬웨어 대응모듈(120)은, 메모리에 저장된 데이터를 포함하는 스냅샷(snapshot) 이미지를 생성한다.
이때, 랜섬웨어 대응모듈(120)은, On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성할 수 있다.
이때, CPU 코어(11)에서 암호 모듈에 의한 암호화가 종료되기 전에 중단될 경우, 도 2에 도시된 바와 같이, 메모리 스냅샷은, 랜섬웨어의 암호모듈 E(310), 암호키 Key(320) 및 암호화된 데이터 Ekey(Data)(330)를 포함할 수 있다.
랜섬웨어 분석엔진(130)은, 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호호한다.
우선, 랜섬웨어 분석엔진(130)은, 도 4에 도시된 바와 같은 랜섬웨어의 암호모듈 E(310), 암호키 Key(320) 및 암호화된 데이터 Ekey(Data)(330)를 추출하고, 암호모듈 E(310)로부터 복호화 모듈 D을 구성한다.
그런 후, 랜섬웨어 분석 엔진(130)은, 암호화된 데이터 Ekey(Data)를 암호키 Key와 복호화 모듈 D을 이용하여 복호화 Dkey(Ekey(Data))하여 암호화되기 전의 데이터(340)로 복원시킨다.
도 3은 실시예에 따른 랜섬웨어 공격 데이터 복원 방법을 설명하기 위한 순서도이고, 도 4는 실시예에 따른 랜섬웨어 탐지 단계를 설명하기 위한 순서도이고, 도 5는 실시예에 따른 암호화된 데이터를 복호화하는 단계를 설명하기 위한 순서도이다.
도 2를 참조하면, 실시예에 따른 랜섬웨어 공격 데이터 복원 방법은, CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계(S210), 랜섬웨어 공격을 탐지함에 따라, 메모리 스냅샷을 작성하는 단계(S220) 및 작성된 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호화하는 단계(S230)를 포함할 수 있다.
이때, 도 4를 참조하면, 랜섬웨어 공격 여부를 탐지하는 단계(S210)에서, CPU 코어(11)에서의 암호화 연산을 모니터링(S211)하여, 랜섬웨어 공격 여부를 판단한다(S212).
이때, 랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링할 수 있다. 즉, 랜섬웨어에 감염될 경우, Secure CPU(10)의 코어(Core)(11)에서는 감염된 랜섬웨어 암호모듈에 의해 데이터 암호화를 수행하게 되므로 암호화 연산 빈도가 증가하기 때문이다.
이때, 암호화 연산의 특징을 모니터링할 수 있다. 즉, 암호화 연산은 다수의 XOR 명령을 수반하는 등 고유의 특징을 가지기 때문이다.
S512의 판단 결과 CPU 코어(11)에 의해 랜섬웨어의 암호모듈을 수행 중인 것으로 판단될 경우, 인터럽트 신호가 발생되어 CPU 코어(11)에서 실행되는 코드를 중단될 수 있다(S213). 아울러, 랜섬웨어 대응 실행 요청된다(S214).
한편, 메모리 스냅샷을 작성하는 단계(S220)에서, On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷이 작성될 수 있다.
이때, CPU 코어(11)에서 암호 모듈에 의한 암호화가 종료되기 전에 중단될 경우, 도 2에 도시된 바와 같이, 메모리 스냅샷은, 랜섬웨어의 암호모듈 E(310), 암호키 Key(320) 및 암호화된 데이터 Ekey(Data)(330)를 포함할 수 있다.
이때, 도 5를 참조하면, 암호화된 데이터를 복호화하는 단계(S230)에서, 도 2에 도시된 바와 같은 랜섬웨어의 암호모듈 E(310), 암호키 Key (320) 및 암호화된 데이터 Ekey(Data)(330)를 추출한다(S231).
그런 후, 암호화된 데이터를 복호화하는 단계(S230)에서, 암호모듈 E(310)로부터 복호화 모듈 D을 구성한다(S232).
그런 후, 암호화된 데이터를 복호화하는 단계(S230)에서, 암호화된 데이터 Ekey(Data)를 암호키 Key와 복호화 모듈 D을 이용하여 복호화 Dkey(Ekey(Data))하여 암호화되기 전의 데이터(340)로 복원시킨다(S233).
도 6은 실시예에 따른 컴퓨터 시스템 구성을 나타낸 도면이다.
실시예에 따른 랜섬웨어 공격 데이터 복원 장치(100)는 컴퓨터로 읽을 수 있는 기록매체와 같은 컴퓨터 시스템(1000)에서 구현될 수 있다.
컴퓨터 시스템(1000)은 버스(1020)를 통하여 서로 통신하는 하나 이상의 프로세서(1010), 메모리(1030), 사용자 인터페이스 입력 장치(1040), 사용자 인터페이스 출력 장치(1050) 및 스토리지(1060)를 포함할 수 있다. 또한, 컴퓨터 시스템(1000)은 네트워크(1080)에 연결되는 네트워크 인터페이스(1070)를 더 포함할 수 있다. 프로세서(1010)는 중앙 처리 장치 또는 메모리(1030)나 스토리지(1060)에 저장된 프로그램 또는 프로세싱 인스트럭션들을 실행하는 반도체 장치일 수 있다. 메모리(1030) 및 스토리지(1060)는 휘발성 매체, 비휘발성 매체, 분리형 매체, 비분리형 매체, 통신 매체, 또는 정보 전달 매체 중에서 적어도 하나 이상을 포함하는 저장 매체일 수 있다. 예를 들어, 메모리(1030)는 ROM(1031)이나 RAM(1032)을 포함할 수 있다.
이상에서 첨부된 도면을 참조하여 본 발명의 실시예들을 설명하였지만, 본 발명이 속하는 기술분야에서 통상의 지식을 가진 자는 본 발명이 그 기술적 사상이나 필수적인 특징을 변경하지 않고서 다른 구체적인 형태로 실시될 수 있다는 것을 이해할 수 있을 것이다. 그러므로 이상에서 기술한 실시예들은 모든 면에서 예시적인 것이며 한정적이 아닌 것으로 이해해야만 한다.
10 : Secure CPU 11 : Core
110 : 랜섬웨어 탐지모듈 120 : 랜섬웨어 대응모듈
130 : 랜섬웨어 분석엔진

Claims (18)

  1. 적어도 하나의 프로그램이 기록된 메모리; 및
    프로그램을 실행하는 프로세서를 포함하며,
    프로그램은,
    CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계;
    랜섬웨어 공격을 탐지함에 따라, 메모리 스냅샷을 작성하는 단계; 및
    작성된 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호화하는 단계를 수행하는, 랜섬웨어 공격 데이터 복원 장치.
  2. 제1 항에 있어서, 탐지하는 단계는,
    랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링하는, 랜섬웨어 공격 데이터 복원 장치.
  3. 제1 항에 있어서, 탐지하는 단계는,
    랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단하는, 랜섬웨어 공격 데이터 복원 장치.
  4. 제1 항에 있어서, 탐지하는 단계는,
    CPU 코어에 의해 랜섬웨어의 암호모듈을 수행 중인 것으로 판단될 경우, 인터럽트 신호를 발생시켜 CPU 코어에서 실행되는 코드를 중단시키는, 랜섬웨어 공격 데이터 복원 장치.
  5. 제1 항에 있어서, 메모리 스냅샷을 작성하는 단계는,
    On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성하는, 랜섬웨어 공격 데이터 복원 장치.
  6. 제1 항에 있어서, 메모리 스냅샷은,
    랜섬웨어의 암호모듈, 암호키 및 암호화된 데이터를 포함하는, 랜섬웨어 공격 데이터 복원 장치.
  7. 제6 항에 있어서, 복호화하는 단계는,
    메모리 스냅샷에서 추출한 암호모듈에서 복호화 모듈을 구성하는 단계; 및
    암호화된 데이터를 암호키와 복호화 모듈을 이용하여 암호화되기 전의 데이터로 복원하는 단계를 포함하는, 랜섬웨어 공격 데이터 복원 장치.
  8. CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계;
    랜섬웨어 공격을 탐지함에 따라, 메모리 스냅샷을 작성하는 단계; 및
    작성된 메모리 스냅샷에서 분석된 정보를 기반으로 암호화된 데이터를 복호화하는 단계를 포함하는, 랜섬웨어 공격 데이터 복원 방법.
  9. 제8 항에 있어서, 탐지하는 단계는,
    랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링하는, 랜섬웨어 공격 데이터 복원 방법.
  10. 제8 항에 있어서, 탐지하는 단계는,
    랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단하는, 랜섬웨어 공격 데이터 복원 방법.
  11. 제8 항에 있어서, 탐지하는 단계는,
    CPU 코어에 의해 랜섬웨어의 암호모듈을 수행 중인 것으로 판단될 경우, 인터럽트 신호를 발생시켜 CPU 코어에서 실행되는 코드를 중단시키는, 랜섬웨어 공격 데이터 복원 방법.
  12. 제8 항에 있어서, 메모리 스냅샷을 작성하는 단계는,
    On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성하는, 랜섬웨어 공격 데이터 복원 방법.
  13. 제8 항에 있어서, 메모리 스냅샷은,
    랜섬웨어의 암호모듈, 암호키 및 암호화된 데이터를 포함하는, 랜섬웨어 공격 데이터 복원 방법.
  14. 제13 항에 있어서, 복호화하는 단계는,
    메모리 스냅샷에서 추출한 암호모듈에서 복호화 모듈을 구성하는 단계; 및
    암호화된 데이터를 암호키와 복호화 모듈을 이용하여 암호화되기 전의 데이터로 복원하는 단계를 포함하는, 랜섬웨어 공격 데이터 복원 방법.
  15. CPU 코어를 모니터링하여 랜섬웨어 공격 여부를 탐지하는 단계;
    랜섬웨어 공격을 탐지함에 따라, 인터럽트 신호를 발생시켜 CPU 코어에서 실행되는 코드를 중단시키는 단계;
    중단된 CPU 코어의 메모리 스냅샷을 작성하는 단계;
    메모리 스냅샷에서 암호 모듈, 암호키 및 암호화 데이터를 추출하는 단계;
    추출된 암호 모듈로부터 복호 모듈을 구성하는 단계; 및
    구성된 복호 모듈과 암호키로 암호화 데이터를 복호화하는 단계를 포함하는, 랜섬웨어 공격 데이터 복원 방법.
  16. 제15 항에 있어서, 탐지하는 단계는,
    랜섬웨어 공격에 의한 암호화 연산 빈도 증가 여부를 모니터링하는, 랜섬웨어 공격 데이터 복원 방법.
  17. 제15 항에 있어서, 탐지하는 단계는,
    랜섬웨어의 암호모듈에 명시된 연산의 특징에 기반하여 랜섬웨어의 공격 여부를 판단하는, 랜섬웨어 공격 데이터 복원 방법.
  18. 제1 항에 있어서, 메모리 스냅샷을 작성하는 단계는,
    On-chip Security 하드웨어를 활용하여 고속으로 메모리 스냅샷을 작성하는, 랜섬웨어 공격 데이터 복원 방법.
KR1020210000871A 2021-01-05 2021-01-05 랜섬웨어 공격 데이터 복원 장치 및 방법 KR20220098952A (ko)

Priority Applications (1)

Application Number Priority Date Filing Date Title
KR1020210000871A KR20220098952A (ko) 2021-01-05 2021-01-05 랜섬웨어 공격 데이터 복원 장치 및 방법

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
KR1020210000871A KR20220098952A (ko) 2021-01-05 2021-01-05 랜섬웨어 공격 데이터 복원 장치 및 방법

Publications (1)

Publication Number Publication Date
KR20220098952A true KR20220098952A (ko) 2022-07-12

Family

ID=82420017

Family Applications (1)

Application Number Title Priority Date Filing Date
KR1020210000871A KR20220098952A (ko) 2021-01-05 2021-01-05 랜섬웨어 공격 데이터 복원 장치 및 방법

Country Status (1)

Country Link
KR (1) KR20220098952A (ko)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180014852A (ko) 2014-02-20 2018-02-09 상하이 내셔널 엔지니어링 리서치 센터 오브 디지털 텔레비전 컴퍼니, 리미티드 Ldpc 코드워드 인터리빙 매핑 방법 및 디인터리빙 디매핑 방법

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20180014852A (ko) 2014-02-20 2018-02-09 상하이 내셔널 엔지니어링 리서치 센터 오브 디지털 텔레비전 컴퍼니, 리미티드 Ldpc 코드워드 인터리빙 매핑 방법 및 디인터리빙 디매핑 방법

Similar Documents

Publication Publication Date Title
AU2020203503B2 (en) Automated runtime detection of malware
US11126718B2 (en) Method for decrypting data encrypted by ransomware
EP3405902B1 (en) Pattern matching based dataset extraction
US10050982B1 (en) Systems and methods for reverse-engineering malware protocols
EP3688652A1 (en) Device and method for data security with trusted execution environment
US11086986B2 (en) Processing control apparatus, processing control method, and non-transitory recoding medium
CN111800405A (zh) 检测方法及检测设备、存储介质
CN114528602B (zh) 基于攻击检测行为的安全芯片运行方法及装置
US10447671B1 (en) Systems and methods for recovering encrypted information
KR101737794B1 (ko) 사용자파일을 암호화하는 악성코드의 모니터링 장치 및 방법
CN109190407B (zh) 一种高性能加解密运算能力扩展方法及系统
KR101899774B1 (ko) 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체
KR20180054389A (ko) 클라우드 기반의 클라이언트 장치 및 백업 방법, 이를 수행하기 위한 기록매체
KR20220098952A (ko) 랜섬웨어 공격 데이터 복원 장치 및 방법
EP3811258A1 (en) Method for preventing ransomware attacks on computing systems
CN116257889A (zh) 数据完整性保护方法及相关装置
CN112464235A (zh) 一种计算机网络安全控制系统及控制方法
CN109977665B (zh) 基于tpcm的云服务器启动过程防窃取和防篡改方法
Cheng et al. dptCry: an approach to decrypting ransomware WannaCry based on API hooking
KR102086375B1 (ko) 악성 소프트웨어에 대한 실시간 예방 및 사후 복구를 위한 보안 시스템 및 그 방법
CN113228016A (zh) 用于勒索软件解密的设备和方法
CN114297647B (zh) 一种程序安全性检测方法及相关装置
JP7031070B1 (ja) プログラム処理装置、プログラム処理方法、及び、プログラム
US20240134976A1 (en) Analyzing file entropy to identify adverse conditions
US20240232347A9 (en) Analyzing file entropy to identify adverse conditions