특정 패턴으로 시스템 동작 수행시 자동 중지되는 방식으로 랜섬을 제지하는 알고리즘이 있나요?
랜섬웨어가 암호화를 하게 되면 디스크 입출력이나 특정한 형태의 부하도 올라가겠지만, 그보다 특정한 형태의 연산 방식이 관찰되지 않을까요? 이를테면 특정한 숫자/문자열을 기준으로 인코딩에 많이 쓰이는 명령들이 반복 수행된다든지...
혹은 위와 같은 형태로 동작하면 자동으로 원본의 사본을 만든 뒤 동작하고, 사본은 삭제(=파일 목록에서 가리기) 같은 방식으로 원본의 흔적을 자동으로 기록하고 복구하는 방식도 괜찮을 것 같습니다. (시스템이 자동 복구하는 게 아니라, 시스템 바깥에서 복구할 흔적을 만들어 놓는 것) 복호화해서 복구하는 게 아니라 흔적을 남겨서 사본을 복구하는거죠.
실시간 모니터링으로 사전 차단에는 실패해도, 이런 패턴의 자의적 반복수행이 불가능하게끔 설계하면, 모든 데이터가 암호화되어버리는 참사는 피할 수 있지 않나 싶습니다.
¾Ë°í¸®ÁòÀ¸·Î ´ëÀÀÇÏ´Â ¹æ½ÄÀ¸·Î ¾Ûüũ,
SMB¸¦ ÅëÇÑ ÀüÆĸ¦ Â÷´ÜÇÏ´Â ¹æ½Ä,
½º³À¼¦ ±â´É È°¿ë µîµî ¿©·¯°¡Áö ´ëÀÀ¹ýÀº ÀÖÁÒ.
Á¦ °á·ÐÀº ¹é¾÷¸¸ÀÌ »ì±æÀÌ´Ù!! ÀÔ´Ï´Ù.
µðÄÚÀÌ(Decoy) ÆÄÀÏÀ» »ý¼ºÇÏ°í ÇØ´ç ÆÄÀÏÀÌ º¯Á¶µÇ´Â °æ¿ì¸¦ °¨ÁöÇϰųª
ƯÁ¤ S/W ȤÀº ÇÁ·Î¼¼½º°¡ ´ÙÁß ÆÄÀÏ ÀÔ/Ãâ·Â ÀÛ¾÷ ¼öÇà½Ã Â÷´ÜÀ» ½Ç½ÃÇÕ´Ï´Ù.
³»ºÎ µðÆæ´õ¿Í Á¦¾î°ü¸®¸¸ Á¦´ë·Î È°¿ëÇصµ ¸Ó º¸È£ÇÒ¼ö ÀÖ´Â°Ç Á¦´ë·Î º¸È£°¡ µÇ¿ä. ÇØ´ç ÆÄÀÏ ¹Ù²Ü·Á¸é Á¤ÇØÁø ¼ÒÇÁÆ®¿þ¾î°¡ ¾Æ´Ï¸é ¼öÁ¤À» ¸øÇϴϱî¿ä...