차례:
비디오: ê¹ì¤ìì ë°°ì´ë³´ì ë² ë¦°ì´ íì¶ê¸° (십월 2024)
안티 바이러스가 데이터 스털링 트로이 목마를 발견하지 못하면 새 신용 카드를받을 수 있습니다. 실제 바이러스가 방어를 벗어나면 공격적인 정리 도구로 문제를 해결해야합니다. 그러나 안티 바이러스가 랜섬웨어 공격을 놓치면 모든 문서를 잃거나 컴퓨터에 액세스 할 수 없게됩니다. 바로 여기에 Cybereason의 RansomFree가 등장합니다.이 무료 전용 랜섬웨어 보호 유틸리티는 기존 바이러스 백신 소프트웨어와 함께 작동합니다. 이 공격에 일반적인 행동을 관찰하여 랜섬웨어 침입을 탐지하고 예방하는 데 100 % 집중합니다. 불쾌한 실제 악성 코드 샘플로 테스트를 수행하면 작업이 완료됩니다.
Cybereason 팀의 구성원은 사이버 보안 전담 팀인 Israeli Intelligence Corps의 엘리트 유닛 8200에서 교육을 받았습니다. 그들은 군사 수준의 사이버 공격으로 치아를 깎았으며 이제 SoftBank, Vizio 및 Lockheed Martin을 비롯한 주요 회사에 고급 방어 기능을 제공합니다. 랜섬웨어 전염병이 더 많은 소비자를 위험에 빠뜨리기 시작하자 회사의 CEO는 전체 Cybereason 보안 제품군에서 랜섬웨어 구성 요소를 추출하여 해당 랜섬웨어를 소비자에게 무료로 제공하기로 결정했습니다. 소기업도 사용할 수 있습니다. 대기업은 본격적인 Cybereason 서비스를 고려해야합니다.
RansomFree는 설치 직후 랜섬웨어로부터 시스템을 보호하기 시작합니다. 랜섬웨어와 관련된 동작을 감시하면서 백그라운드에서 실행됩니다. 이 프로세스의 일부로 데스크탑 및 문서 폴더와 같은 주요 위치에 "미끼"파일이 생성됩니다. 안티 바이러스 서명이 없습니다. RansomFree는 행동 기반 탐지에 의존합니다.
랜섬웨어의 공격
RansomFree는 작년에 처음 검토 한 랜섬웨어 관련 보안 도구 중 하나였습니다. 당시에는 실제 샘플 몇 개와 그에 대한 수동 수정 변형 만있었습니다. 이제 다양한 랜섬웨어 제품군을 다루는 6 가지 샘플이 있습니다. RansomFree는 그들을 모두 탐지하고 차단했습니다.
RansomFree가 랜섬웨어처럼 작동하는 프로세스를 발견하면 해당 프로세스를 일시 중단하고 큰 경고를 표시합니다. 예를 클릭하여 프로세스를 종료하고 문제를 정리하십시오. 아니요를 클릭 할 수도 있지만 권장하지 않습니다. 문제의 프로세스에 의해 생성, 수정 또는 삭제 된 모든 파일을 볼 수있는 링크가 있습니다. 예를 들어이 정보를 검토 한 한 공격자는 Documents 폴더에 임의의 이름으로 실행 파일을 생성하고 해당 프로그램에 대한 제어권을 넘겼다는 것을 알 수있었습니다. 다른 하나는 메모리에로드 한 후 온 디스크 존재를 삭제했습니다.
어떤 경우에는 RansomFree가 두세 번 나타나기도했습니다. 나는 항상 예를 클릭했습니다. 완료되면 랜섬웨어가 몸값 또는 기타 유해물을 남겨두고 수동으로 정리해야한다고 경고했습니다. 실제로, 나는 몇 가지 경우에 몸값을 발견했습니다.
Windows 시작시 시작된 랜섬웨어 공격을 막지 못한 몇 가지 제품을 사용했습니다. 무료 CyberSight RansomStopper와 마찬가지로 IObit Advanced SystemCare Ultimate가 그 예입니다. 시작시 랜섬웨어 샘플을 시작하도록 구성했을 때 RansomFree는이를 감지하고 종료하는 데 아무런 문제가 없었습니다.
작고 간단한 랜섬웨어 시뮬레이터, 내가 직접 작성한 프로그램이 있습니다. 문서 폴더에서 텍스트 파일을 찾아 XOR 암호화를 적용하기 만하면됩니다. 이 기술은 단순히 모든 1 비트를 0으로, 모든 0 비트를 1로 뒤집습니다. 다시 적용하면 파일이 해독됩니다. 이것은 RansomFree가 알기에는 너무 간단한 생각으로 판명되었으며 실제로 실제로 파괴적이지는 않습니다. 다른 경쟁 유틸리티 중 일부가 Acronis 및 CryptoDrop Anti-Ransomware 중에서 FakeCryptor를 무시했습니다.
디스크 암호화 랜섬웨어
가장 일반적인 랜섬웨어 유형은 필수 파일을 암호화하지만 컴퓨터는 작동합니다. 피해자는 몸값을 지불하기 위해 인터넷과 컴퓨터 액세스가 필요하기 때문에 완벽하게 이해됩니다. 그러나 전체 디스크 암호화를 수행하여 비용을 지불 할 때까지 효과적으로 장치를 차단하는 덜 일반적인 유형이 있습니다. 악명 높은 Petya 랜섬웨어는 그 중 하나이며 Petya 샘플을 스네어 링했습니다.
행동 기반 랜섬웨어 보호 유틸리티는 반드시 이러한 유형의 공격으로부터 보호 할 필요는 없습니다. Petya 샘플을 얻은 후 테스트 한 다른 4 가지 제품 중 Acronis와 RansomStopper는 Petya 공격을 막았지만 Malwarebytes Anti-Ransomware Beta 및 CryptoDrop은 그렇지 않았습니다.
Cybereason 블로그 게시물을 통해 RansomFree가 Petya를 중단시킬 수 있다고 생각하게되었습니다. 그러나 샘플을 시작했을 때 시스템이 다운되어 재부팅시 낮은 수준의 디스크 복구를 수행했습니다. 실제로 디스크를 복구하는 것이 아니라 디스크를 암호화하는 것이 었습니다. 디스크 암호화 랜섬웨어는 파일 암호화 유형보다 훨씬 덜 일반적이며 바이러스 백신은 해를 끼치기 전에이를 탐지 할 가능성이 높습니다.
가장 된 랜섬웨어 수수께끼
KnowBe4는 제품보다 피싱 방지 교육으로 잘 알려진 회사이지만 무료 RanSim Ransomware Simulator를 제공합니다. RanSim은 귀중한 파일을 건드리지 않고 가장 일반적인 10 가지 랜섬웨어 기술과 랜섬웨어 보호가 차단해서는 안되는 무해한 관련 기술 2 가지를 시뮬레이션합니다.
테스트 시스템에 RanSim을 설치하고 테스트 시퀀스를 실행하여 실망스러운 결과를 얻었습니다. RansomFree는 두 가지 오 탐지 시나리오를 방해하지 않았지만 10 개의 랜섬웨어 시나리오를 차단할 수는 없었습니다.
Cybereason과 KnowBe4와 함께 파고, 머리를 긁고, 설득 한 후에 문제를 이해하게되었습니다. RanSim은 테스트 파일을 문서 폴더 아래 4 단계 폴더 내의 폴더에 넣습니다. Documents 폴더의 실제 내용을 건드리지 않고 이러한 파일을 암호화하는 것은 실제 랜섬웨어와 일치하는 동작이 아닙니다. 따라서 RansomFree는이를 무시합니다. Acronis는 10 개의 시나리오를 모두 차단했으며 Malwarebytes는 8 개를 얻었습니다. 다른 사람들은 전체 테스트 플랫폼을 지웠으므로 결과를보고 할 수 없었습니다.
다른 도로
랜섬웨어는 심각한 문제이므로 다른 회사가 자체적으로 대처하는 방법을 고안 한 것은 놀라운 일이 아닙니다. Webroot SecureAnywhere AntiVirus의 모든 맬웨어 탐지는 랜섬웨어 탐지뿐만 아니라 동작을 기반으로합니다. 바이러스 백신은 기존 맬웨어 동작 프로필과 일치하는 프로세스를 즉시 지 웁니다. 의심스러운 프로세스가 악의적 인 것으로 100 % 확실하지 않은 경우 Webroot는 로컬 작업을 저널링하고 인터넷을 통해 정보를 보내는 등의 되돌릴 수없는 작업을 가상화합니다. 클라우드 기반 분석이 나중에 해당 의심 프로세스를 맬웨어로 식별하면 로컬 클라이언트는 저널 데이터를 사용하여 랜섬웨어가 수행하는 암호화 조치를 취소하는 등 해당 프로세스의 모든 조치를 취소합니다.
Panda로부터 랜섬웨어 보호를 받으려면 전체 Panda Internet Security 제품군을 구입해야합니다. 독립 실행 형 바이러스 백신에는 Data Shield 구성 요소가 포함되어 있지 않습니다. Data Shield는 모든 무단 액세스로부터 소중한 문서를 보호하기 위해 랜섬웨어가 파일을 암호화 할 수없고 트로이 목마가 데이터를 도용 할 수 없도록합니다. Panda가 무단 프로그램에 의한 액세스 시도를 감지하면 허용 여부를 묻습니다. 당연히 방금 설치 한 새 워드 프로세서에 권한을 부여하지만 요청이 파란색으로 표시되면 거부하십시오!
Trend Micro Antivirus + 보안 및 Avast Internet Security는 무단 파일 수정을 방지하여 랜섬웨어를 망칠 수있는 다른 제품 중 하나입니다. 그러나 Panda와 같은 방식으로 읽기 전용 액세스를 차단하지는 않습니다.
맬웨어와 싸우기 위해 특별히 설계된 도구 영역에서는 거의 모든 것이 동작 기반 탐지를 사용합니다. Bitdefender Anti-Ransomware는 예외입니다. 랜섬웨어는 이중 암호화를 피하기 위해 랜섬웨어 자체 기술을 대체하여 시스템을 "백신"하여 랜섬웨어가 이미 작업을 완료했다고 생각합니다.
Check Point ZoneAlarm Anti-Ransomware는 탐지가 시작되기 전에 암호화되었을 수있는 파일을 복구하기 위해 시스템을 통해 동작 기반 탐지를 보완합니다. 테스트에서 완벽한 랜섬 노트를 제거했습니다.
Acronis Ransomware Protection을 사용하면 중요한 파일을위한 5GB의 클라우드 스토리지가 제공됩니다. 랜섬웨어가 탐지하기 전에 파일을 암호화하는 경우 Acronis는 단순히 보호 된 백업에서 복원합니다. 5GB가 부족한 것으로 판명되면 회사의 Acronis True Image 백업 서비스로 업그레이드 할 수 있습니다.
트렌드 마이크로 랜섬 버스터 (Trend Micro RansomBuster) Folder Shield는 중요한 파일의 수정을 차단하고 동작 기반 탐지를 사용하며 필요한 경우 보안 저장소에서 파일을 복구합니다. 그러나 테스트를 위해 Folder Shield를 끄면 동작 기반 탐지에서 여러 샘플이 누락되었습니다.
멜빵과 벨트
RansomFree는 이름에서 알 수 있듯이 무료이며, 실제 불쾌한 랜섬웨어로 테스트했을 때 서비스를 제공했습니다. 이는 보편적 인 솔루션은 아니지만 범용 맬웨어 방지 유틸리티에 추가 할 가치가 있습니다. 기본 프로덕션 PC에 설치했으며 전체 안티 바이러스 보호를 보완하기 위해 다른 무료 랜섬웨어 보호 유틸리티를 추가하는 것이 좋습니다.
Check Point ZoneAlarm Anti-Ransomware는 랜섬웨어 관련 보안을위한 편집자 선택입니다. 무료는 아니지만 비싸지 않습니다. 시스템 주변의 미끼 파일을 방해하지 않고 모든 랜섬웨어 샘플로부터 보호하고 필요에 따라 파일을 복구했습니다.