안티 랜섬웨어 알고리즘은 어떤 게 있나요?

김영기   
   조회 2404   추천 0    

 

특정 패턴으로 시스템 동작 수행시 자동 중지되는 방식으로 랜섬을 제지하는 알고리즘이 있나요?


랜섬웨어가 암호화를 하게 되면 디스크 입출력이나 특정한 형태의 부하도 올라가겠지만, 그보다 특정한 형태의 연산 방식이 관찰되지 않을까요? 이를테면 특정한 숫자/문자열을 기준으로 인코딩에 많이 쓰이는 명령들이 반복 수행된다든지...


혹은 위와 같은 형태로 동작하면 자동으로 원본의 사본을 만든 뒤 동작하고, 사본은 삭제(=파일 목록에서 가리기) 같은 방식으로 원본의 흔적을 자동으로 기록하고 복구하는 방식도 괜찮을 것 같습니다. (시스템이 자동 복구하는 게 아니라, 시스템 바깥에서 복구할 흔적을 만들어 놓는 것) 복호화해서 복구하는 게 아니라 흔적을 남겨서 사본을 복구하는거죠.


실시간 모니터링으로 사전 차단에는 실패해도, 이런 패턴의 자의적 반복수행이 불가능하게끔 설계하면, 모든 데이터가 암호화되어버리는 참사는 피할 수 있지 않나 싶습니다.

짧은글 일수록 신중하게.
랜섬웨어류뿐 아니라 무단삭제, 오류등등에 대한 근본적인 대책은 백업이죠.
알고리즘으로 대응하는 방식으로 앱체크,
SMB를 통한 전파를 차단하는 방식,
스냅샷 기능 활용 등등 여러가지 대응법은 있죠.

제 결론은 백업만이 살길이다!! 입니다.
     
+1
현행 백신/차단 솔루션이 쓰는 방범 입니다.

디코이(Decoy) 파일을 생성하고 해당 파일이 변조되는 경우를 감지하거나
특정 S/W 혹은 프로세스가 다중 파일 입/출력 작업 수행시 차단을 실시합니다.
술이 2020-02
윈도우10 기능만 제대로 활용해도 제대로 막죠. 터미널 원격이 털리지 않는한 랜섬이 치고 들어오는건 불가능합니다. 그리고 대부분 백그라운드로 프로세스 실행하여 파일하나하나 암호화를 시켜버리는데 그것도 UAC로 무력화 됩니다. 랜섬웨어 프로세스가 실행이 되더라도 하드웨어 액세스는 불가하고 NTFS파일 시스템 권한을 제대로 보강하면 또 변조를 못하게 됩니다.
내부 디펜더와 제어관리만 제대로 활용해도 머 보호할수 있는건 제대로 보호가 되요. 해당 파일 바꿀려면 정해진 소프트웨어가 아니면 수정을 못하니까요...


QnA
제목Page 576/5706
2015-12   1666804   백메가
2014-05   5132145   정은준1
2019-05   2395   전설속의미…
2019-12   2395   MikroTik이진
2022-02   2395   sudosu
2021-11   2395   IRIX6530
2021-09   2395   cyberG
2023-12   2395   SyuSyu
2021-07   2395   메가날백
2020-07   2396   김영기
2020-11   2396   audacity
2020-02   2396   청춘
2021-12   2396   나라뜨
2019-12   2396   블랙펄
2020-01   2396   메가날백
2023-08   2396   Flask
2021-07   2396   엘프와나스
2020-01   2396   ghostman
2022-02   2396   전설속의미…
2023-03   2397   민사장
2023-02   2397   민사장
2021-12   2397   화란