차례:
비디오: ìí´ë¡ ì§ê¸ë²¨ë½ (십월 2024)
랜섬웨어 보호
RansomStopper는 랜섬웨어 공격을 탐지하면 문제가있는 프로세스를 종료하고 알림 영역에 경고를 표시합니다. 경고를 클릭하면 문제를 일으킨 파일을 볼 수 있습니다. 차단 된 프로세스 목록에서 프로그램을 제거하는 옵션이 있습니다. 경고와 함께 나쁜 아이디어가 있습니다.
랜섬웨어 동작 감지를 기다리는 것은 때때로 랜섬웨어가 종료되기 전에 몇 개의 파일을 암호화 함을 의미 할 수 있습니다. Malwarebytes를 테스트했을 때 이런 방식으로 몇 개의 파일이 손실되었습니다. Check Point ZoneAlarm Anti-Ransomware는 암호화 된 파일을 능동적으로 복구합니다. 내 테스트에서 모든 랜섬웨어 샘플에 대해 그렇게했습니다. 그러나 RansomStopper는 파일을 암호화하지 않고 동일한 샘플을 중지했습니다.
빠른 위생 검사를 위해 필자가 직접 작성한 간단한 가짜 랜섬웨어 프로그램을 시작했습니다. 문서 폴더 안팎에서 텍스트 파일을 찾아서 암호화하기 만하면됩니다. 단순하고 가역적 인 암호를 사용하므로 두 번째 실행으로 파일이 복원됩니다. RansomStopper는 그것을 잡았고 chicanery를 막았습니다. 여태까지는 그런대로 잘됐다.
주의, 라이브 랜섬웨어
행동 기반 랜섬웨어 보호를 테스트하는 유일한 방법은 라이브 랜섬웨어를 사용하는 것입니다. 공유 폴더와 인터넷에서 가상 컴퓨터 테스트 시스템을 분리하여 매우 신중하게 수행합니다.
안티 랜섬웨어 제품이 탐지에 실패하면이 테스트는 심오 할 수 있지만 RansomStopper 테스트는 순조롭게 진행되었습니다. ZoneAlarm 및 Malwarebytes와 같이 RansomStopper는 모든 샘플을 포착했으며 동작 탐지가 시작되기 전에 암호화 된 파일을 찾지 못했습니다.
또한 10 가지 유형의 랜섬웨어 공격을 시뮬레이트하는 유틸리티 인 KnowBe4의 RanSim을 사용하여 테스트합니다. 이 테스트의 성공은 유용한 정보이지만 실패는 단순히 동작 기반 탐지가 시뮬레이션이 실제 랜섬웨어가 아니라고 정확하게 판단했음을 의미 할 수 있습니다. RansomFree와 마찬가지로 RansomStopper는 시뮬레이션을 무시했습니다.
부팅 시간 위험 해결
레이더를 지키는 것은 랜섬웨어에게는 큰 문제입니다. 가능할 때, 그것은 더러운 행동을 자동으로 수행하며, 파일을 암호화 한 후 몸값 요구를 충족시킵니다. 관리자 권한이 있으면 랜섬웨어의 작업이 쉬워 지지만 그 시점에 도달하려면 일반적으로 사용자의 권한이 필요합니다. 이러한 권한을 자동으로 얻는 해결 방법이 있습니다. 부팅시 Winlogon 프로세스에서 피기 백 (piggyback)을 구성하거나 부팅 시간에 예약 된 작업을 설정합니다. 일반적으로 랜섬웨어는 부팅시 시작된 다음 암호화 작업을 수행하지 않고 강제로 재부팅합니다.
이전 테스트에서 RansomStopper가 시작되기 전에 랜섬웨어가 부팅시 파일을 암호화 할 수 있음을 발견했습니다. 내 가짜 암호화 프로그램이 그 위업을 관리했습니다. RansomStopper의 미끼 텍스트 파일을 포함하여 문서 폴더 안팎의 모든 텍스트 파일을 암호화했습니다. (예, 해당 파일은 RansomStopper가 적극적으로 숨기는 폴더에 있지만 방법이 있습니다…) 또한 시작시 시작하도록 설정 한 실제 랜섬웨어 샘플이 누락되었습니다.
CyberSight의 설계자들은이 문제에 대한 여러 가지 솔루션을 테스트하고 부팅시 랜섬웨어보다 앞서 새로운 버전을 출시했습니다. 나는 그것을 테스트했다; RansomStopper의 스털링 테스트 결과에서 한 번의 오점을 제거하여 작동합니다.
RansomFree는 서비스로 실행되므로 정기적 인 프로세스 전에 활성화됩니다. 랜섬 프리 (RansomFree)도 동일한 테스트를 수행하면서 시작시 실제 랜섬웨어 샘플을 시작하도록 설정했을 때이를 포착했다. Malwarebytes도이 테스트를 통과했습니다. RansomBuster는 부팅시 공격을 탐지하고 영향을받는 파일을 복구했습니다.
이 문제를 더 조사하기 위해 올해 초 문제를 일으킨 Petya 랜섬웨어 샘플을 얻었습니다. 이 특정 변형은 시스템과 충돌 한 다음 CHKDSK에 의한 부팅시 복구를 시뮬레이션합니다. 실제로하는 일은 하드 드라이브를 암호화하는 것입니다. Malwarebytes, RansomFree 및 RansomBuster는 모두이 공격을 막지 못했습니다. RansomStopper는 시스템 충돌을 유발하기 전에이를 포착했습니다. ZoneAlarm은 Petya의 공격도 막았습니다. 다른 사람들에게 공평하게 말하면 이것은 일반적인 파일 암호화 랜섬웨어가 아닙니다. 오히려 하드 드라이브를 암호화하여 전체 시스템을 잠급니다.
연락처를 쿼리하면서 Petya를 포함한 부팅시 랜섬웨어 공격의 빈도가 줄어드는 것을 알게되었습니다. 그럼에도 불구하고, 나는이 테스트를 레퍼토리에 추가했다.
다른 기술
동작 기반 탐지는 제대로 구현되면 랜섬웨어와 싸우는 훌륭한 방법입니다. 그러나 이것이 유일한 방법은 아닙니다. Trend Micro RansomBuster 및 Bitdefender Antivirus Plus는 파일 액세스를 제어하여 랜섬웨어를 망칠 수있는 것들 중 하나입니다. 신뢰할 수없는 프로그램이 보호 된 폴더의 파일을 변경하지 못하게합니다. 신뢰할 수없는 프로그램이 파일을 수정하려고하면 알림이 표시됩니다. 일반적으로 알 수없는 프로그램을 신뢰할 수있는 목록에 추가 할 수 있습니다. 차단 된 프로그램이 새 텍스트 또는 사진 편집기 인 경우 편리합니다. 팬더 인터넷 시큐리티는 훨씬 더 멀리 떨어져있어 신뢰할 수없는 프로그램이 보호 된 파일의 데이터를 읽지 못하게합니다.
랜섬웨어 사기꾼은 피해자가 돈을 지불 할 때 파일을 해독 할 수 있도록주의를 기울여야합니다. 파일을 두 번 이상 암호화하면 복구를 방해 할 수 있으므로 대부분 두 번째 공격을 막기 위해 일종의 마커를 포함합니다. Bitdefender Anti-Ransomware는 해당 기술을 활용하여 특정 랜섬웨어 제품군을 이미 공격했다고 생각합니다. 그러나이 기술은 새로운 랜섬웨어 유형에 대해서는 할 수 없습니다.
Webroot SecureAnywhere AntiVirus가 알 수없는 프로세스를 발견하면 해당 프로세스별로 모든 활동을 저널링하고 분석을 위해 클라우드로 데이터를 전송하기 시작합니다. 프로세스가 악성 프로그램 인 경우 Webroot는 랜섬웨어 활동을 롤백 할 때까지 모든 작업을 롤백합니다. ZoneAlarm 및 RansomBuster에는 파일을 복구하는 고유 한 방법이 있습니다. Acronis True Image의 랜섬웨어 차단 구성 요소가 랜섬웨어 공격을 중단하면 필요한 경우 자체 보안 백업에서 암호화 된 파일을 복원 할 수 있습니다.
이제 승자
CyberSight RansomStopper는 모든 실제 랜섬웨어 샘플을 탐지하고 파일 손실없이 차단했습니다. 또한 간단한 수동 코딩 랜섬웨어 시뮬레이터도 감지했습니다. 그리고 여러 경쟁 제품이 실패한 Petya의 공격을 차단했습니다.
이전에 RansomStopper는 부팅시에만 실행되는 랜섬웨어에 대한 취약점을 보여 주었지만 내 소식통에 따르면 이러한 유형의 공격은 덜 일반적이며 CyberSight는이 문제를 해결했습니다. 다른 무료 제품에는 자체 문제가있었습니다. RansomFree는 하나의 실제 샘플을 놓 쳤고 Malwarebytes는 다른 샘플이 탐지되기 전에 몇 개의 파일을 돌이킬 수 없게 암호화하도록 허용했습니다. RansomBuster는 샘플의 절반을 완전히 잃어 버렸습니다.
RansomStopper 및 Check Point ZoneAlarm Anti-Ransomware는 전용 랜섬웨어 보호를위한 최고의 선택입니다. ZoneAlarm은 무료가 아니지만 한 달에 2.99 달러로 굉장히 비싸지는 않습니다. 그럼에도 불구하고 RansomStopper는 무료로 전체 보호를 관리합니다.