랜섬웨어로 인해 모바일 게임서비스 서비스 종료한 사례

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.07 15:34 / 카테고리 : 랜섬웨어 예방 솔루션



랜섬웨어 하나 때문에 회사의 주요 서비스나 회사가 망하는 경우가 있을까요? 최근에 랜섬웨어 감염으로 서비스 중인 모바일 게임이 서비스를 중단하는 사태가 일어났습니다. 국내에서 서비스 중인 모바일 게임 서비스 "파죽지세 영걸전"의 게임 서버가 지난 5월 29일, 랜섬웨어 감염으로 인하여 복구가 불가능하여, 이로 인해 서비스가 불가능하다고 판단하여 급하게 서비스를 종료하였습니다.



해당 게임을 개발하고 운영하는 부나비게임즈 측은 해당 사건이 일어나고 공지사항과 대표의 사과문을 게재하였으며, 퍼블리셔인 팡게임에게 사과하고 결제한 상품에 대한 환불조치를 진행한다고 알렸습니다. 


이번 사건의 랜섬웨어는 고객이 로그인이 잘 되지 않는다는 요청에 의해서 로그인 서버를 교체하는 과정에서 발견된 것으로 알려졌습니다. 


['파죽지세 영걸전' 모바일 게임 서비스 종료 안내문]


공지사항의 내용처럼 더 이상 서비스가 불가능한 상황이 발생하여 서비스를 종료한다는 내용이 게재되어 있습니다. 통상적으로 모바일게임의 서비스 종료는 1개월 전에 미리 고지를 하고 결제 및 환불을 거친 후 서버를 종료하게 되어 있지만, 이번 사태의 경우는 랜섬웨어로 인한 특수한 경우로 서비스를 먼저 종료한 후 사후 조치를 하게 되었습니다. 


그 동안, 문서나 기밀 파일의 손해 수준에서 생각하였던 랜섬웨어 피해 규모에 대해 다시 생각해 볼 수 있는 사건이 될 것으로 보입니다. 랜섬웨어는 게임산업과 같은 라이브 서비스에 침투하였을시에 게임 서비스 종료하는 막대한 피해를 입히고, 게임 회사의 간판 게임인 경우에는 게임 서비스 종료와 동시에 사후 처리 및 막대한 개발 및 영업 손실로 인해 회사가 망할 수도 있습니다. 




몇몇 대중적인 랜섬웨어는 복구 툴이 공개되고 있지만, 신종과 변종 랜섬웨어는 감염되는 순간 복구 할 수 있는 방법이 전혀 없기 때문에 치명적입니다. 설사 추후에 복구 되더라도 랜섬웨어에 감염되어 있는 기간 동안 입은 피해는 복구가 되지 않습니다.


랜섬웨어는 복구가 아니라 사전 예방이 최우선입니다.


랜섬웨어에 걸린 파일을 복구하겠다는 생각이 아니라

랜섬웨어가 아예 침입하지 못하고 동작하지 못하게 막는다는 생각으로 접근해야 합니다.


가장 중요한 것은 신뢰성 있는 랜섬웨어 전용 방어 솔루션을 설치하여 랜섬웨어가 침입하지 못하도록 완벽한 사전방어를 하는 것입니다.



상황인식 기반 랜섬웨어 전용 방어 솔루션 - 앱체크 안티랜섬웨어 

체크멀의 엔드포인트 랜섬웨어 방어 솔루션은 자체적으로 개발한 상황인식기반의 랜섬웨어 행위 엔진을 도입하여 최신 및 변종 랜섬웨어를 방어할 수 있습니다. 




앱체크 프로(AppCheck Pro)는 기업과 기관, 단체를 위한 엔터프라이즈 안티랜섬웨어 솔루션으로 일반적인 랜섬웨어는 물론, 최신 메모리 맵핑 등 최신의 가장 고도화된 랜섬웨어를 모두 방어할 수 있는 뛰어난 랜섬웨어 방어 솔루션입니다. 


악의적인 랜섬웨어 위협으로부터 보호

강력한 랜섬웨어 방어 기능은 체크멀의 상황인식기반 랜섬웨어 행위 엔진에 의해서 제공되며 실시간으로 클라우드 없이 파일 훼손을 분석하여 차단합니다.


랜섬가드

랜섬웨어에 의해 손상되는 파일은 드라이버 수준에서 보호되는 디렉토리에 원본파일이 실시간으로 백업하여 최소한의 디스크공간만 효율적으로 사용합니다.


탐지 실패시에도 데이터를 복구 가능

통합된 스케쥴 백업은 파일을 보호하는 추가 계층을 제공합니다. 파일 변경을 실시간으로 추적하고 변경된 파일만 누적 백업 합니다.


기존 백신과 호환되는 편리함

기존에 설치되어 있는 바이러스 백신 소프트웨어는 랜섬웨어의 실행 전에 감지하고 차단하며, 파일의 손상 행위를 감지하고 이를 중단합니다. 기존에 백신 프로그램이 설치되어 있더라도 충돌없이 동시에 설치, 운용할 수 있습니다.



특장점 간단 정리

◈ 실시간으로 랜섬웨어 위협으로 부터 선제적 방어

◈ MicroSoft Windows 7, 8, 10 완벽 호환

◈ 클라우드로부터 독립적으로 단독 사용 가능, 데이터 유출 걱정 없음

◈ 랜섬가드는 손상되는 파일만 효율적으로 백업

◈ 기존 보안제품과 충돌없이 완벽하게 호환

◈ 중앙관리 시스템을 통해서 통합 관리





주요 핵심 기능 정리

◈ 인터넷 연결없이 실시간으로 랜섬웨어를 탐지하고 차단

◈ 제로데이, 워너크라이 랜섬웨어를 포함하여 알려지지 않은 랜섬웨어에 대해서 즉각적인 보호를 제공

◈ 고도화된 랜섬웨어 보호 기능 : CARB 엔진은 파일 암호화 랜섬웨어의 99% 이상을 차단

◈ 네트워크를 통해 공유되는 파일이 원격지에서 손상되더라도 이를 즉시 차단하고 복구, 원격지를 차단하기 때문에 랜섬웨어로부터 보호 가능

◈ 통합된 스케쥴 백업 기능은 추가적인 파일 보호 기능과 실패시에 파일 복구 대안을 제공

◈ 상세한 파일 탐지 및 복구 기록을 제공

◈ 소프트웨어 자동 업데이트로 유지보수가 편리

◈ 삭제되는 파일은 검역소에 자동보관 되어 언제든지 복구 가능

◈ 유연한 설치 방법과 손쉬운 통합관리를 통해서 전체 소유비용을 최소화

◈ 랜섬웨어 탐지에 대한 포괄적인 보고서를 제공하고 치료에 대한 다양한 리포트를 제공




기업용 앱체크 프로 1개월 무료 라이선스 행사


아이마켓코리아에서는 기업용 안티랜섬웨어 솔루션인 앱체크 프로(AppCheck Pro) 버전 1달 무료 라이선스 제공 프로모션을 진행하고 있습니다. 아래 신청 양식에 내용을 적어주신 후 담당자 이메일(raykim7@imarketkorea.com)으로 보내주시면 기업용 1개월 무료 라이선스를 발급해드립니다. 많은 신청바랍니다. (최대 30 Copy)


[앱체크 프로 기업용 1개월 무료 라이선스 이메일 신청 양식]

- 기업명 : 

- 담당자 : 

- 이메일 : 

- 연락처 : 

- 회사 수량 : 

- 신청 수량 : 30 Copy

- 무료 기간 : 30일

- 비고 : 

※ 서버용 라이선스 요청시 서버라이선스도 10 Copy를 제공합니다. 



무료 라이선스 신청 이메일 보내실 곳 (김경일 과장)

이메일 : raykim7@imarketkorea.com

전화번호 : 02-3708-8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

페덱스 운송장 및 수원남부경찰서로 위장한 오토크립터 랜섬웨어 다수 등장

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.06.02 11:13 / 카테고리 : 랜섬웨어 예방 솔루션



5월에 일어났던 워너크라이 랜섬웨어 사태로 인해서 랜섬웨어에 대한 관심이 높아지고 있습니다. 비트코인 이라는 전자화폐를 통해서 지급받기 때문에 많은 해커들이 이를 모방하여 국내형 랜섬웨어 배포를 통해서 박리다매로 수익을 올리는 전략을 펼치고 있습니다.


이로 인해서 더 많은 랜섬웨어 피해가 생길 수 있습니다. 현재 이슈가 되고 있는 국내형, 피싱형 랜섬웨어 사례에 대해서 알려드리겠습니다. 


랜섬웨어로 암호화된 파일은 특수한 경우가 아니면 복호화가 불가능에 가까우며, 해커들에게 비트코인으로 돈을 지불하여도 암호화를 풀어주는 경우는 많지 않습니다. 그렇기 때문에 랜섬웨어는 사후조치가 아닌 사전예방이라는 점을 꼭 알아두시기 바랍니다. 


1. 페덱스 배송안내로 위장한 랜섬웨어 - 오토크립터(AutoCryptor)

서비스형 랜섬웨어의 일종으로 배송안내를 사칭한 이메일을 통해서 국내에 랜섬웨어를 다량 유포하고 있습니다. 다른 랜섬웨어가 많은 양의 비트코인을 요구하는 고가 전략을 펼치는 반면에 페덱스 배송안내로 위장한 오토크립터는 0.1 비트코인만을 요구하는 저가형 전략을 펼치고 있습니다. 



leemoonjung@gmail.com 이메일을 활용하여 페덱스 지원팀을 사칭하여 발송되고 있는 이메일로써 이메일 본문에는 첨부된 영수증과 운송장을 출력하여 물품을 방문하여 수령하라는 듯한 내용이 기재되어 있습니다. jpg 확장자로 파일이 되어 있지만 사실은 exe 실행파일이 위장하고 있습니다. 그렇기 때문에송장 파일과 영수증 이미지 파일은 절대 열어보면 안됩니다.


암호화 과정이 완료되게 되면 사용자의 바탕화면에 THIS_YOU_MUST_READ.txt 파일이 생성되고 복호화를 위한 안내문과 0.1 비트코인을 요구하는 내용이 적혀있습니다.


2. 수원남부경찰서를 사칭한 낚시형 랜섬웨어 - 오토크립터(AutoCryptor)

최근에는 경찰서 사칭 랜섬웨어도 발견되었습니다. 과거에 보이스피싱으로 사칭하던 공공기관을 이메일을 통해서 랜섬웨어를 태워 전송하는 방식으로 진화하였습니다. 사칭한 이메일 내용에는 아래와 같은 내용이 적혀있습니다. 



귀하의 차량이 법규위반한 사실이 확인되어 과태료 부과대상이 되었기에 통지합니다. 

(중략)

귀하의 개인정보 보호를 위하여 비밀번호가 설정되어 있습니다.

비밀번호 : 0000



첨부될 파일의 압축(과태료 부과통지서.egg)을 풀면, 바로가기 파일로 위장한 과태료부과고지서와 문서파일이 첨부되어 있습니다. 해당 파일을 실행하면 랜섬웨어가 동작하면서 사용자의 모든 파일을 암호화 합니다. 


이 경우에도 박리다매 형식으로 0.1 비트코인을 요구하고 있으며, 오토크립터의 변종으로 확인되고 있습니다. 위 택배사와 경우와 마찬가지로 유창한 한국어로 입금을 유도하는 게시물이 포함되어 있는게 특징입니다. 




[앱체크 안티랜섬웨어로 오토크립터 랜섬웨어 방어하는 영상]




3. 교통위반 범칙금 인터넷 납부 서비스 efine 사칭 랜섬웨어

해당 랜섬웨어는 5월 31일에 배포되었으며 해당 이메일의 이메일은 efine 교통범칙금 인터넷 납부에서 보낸 것으로 위장하고 있습니다. 


또한, "귀하의 차량이 법규위반한 사실이 확인되어 과태료 부과대상이 되었기에 통지합니다." 라는 내용을 담고 있어 앞서 설명드린 수원남부경찰서 사칭 이메일과 동일한 수법으로 보입니다. 


eFine 로고 및 경찰마스코트 및 업무를 안내하는 이미지의 내용이 포함되어 있어 잘 모르는 사용자에게는 클릭을 유도할 수 있습니다. 





최근 국내에서 박리다매, 피싱형 랜섬웨어가 계속 등장하고 있기에 랜섬웨어 사진 방어 솔루션은 필수 설치 프로그램이 되었습니다. 하지만, 많은 랜섬웨어 방어 솔루션 중에서 어떤 제품을 사용해야 하는지 고민이 많을 수 밖에 없습니다. 





랜섬웨어 방어 솔루션의 중요한 점으로 2가지가 있습니다. 

1. 랜섬웨어 사전 방어

2. 안전한 파일 백업 및 보존 


사전 방어 및 파일 백업의 기능을 동시에 가지고 있는 랜섬웨어 방어 솔루션으로 앱체크 안티랜섬웨어(AppCheck Anti Ransomware) 제품이 있습니다. 일반 버전과 프로버전으로 나뉘게 되며, 기업은 반드시 프로버전을 사용하셔야 합니다. 



또한, 기업 프로모션으로 처음 1개월은 앱체크 프로 제품의 무료라이선스를 발급해주는 프로모션을 진행하고 있습니다. 아래의 링크에서 앱체크 프로 1개월 무료사용 프로모션을 확인해주시기 바랍니다

※ 1개월 무료 라이선스 신청하기 : http://itblog.imarketkorea.com/325



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

랜섬웨어예방, 기업용 안티랜섬웨어 앱체크 프로 1달 무료 라이선스 신청

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.23 14:05 / 카테고리 : 랜섬웨어 예방 솔루션



최근, 워너크라이(WannaCry) 랜섬웨어 사태로 인해서 국내에서도 랜섬웨어에 대한 경각심이 높아지고 있습니다. 다행히 이번 워너크라이 사태에서는 공휴일이였다는 점과 유관기관의 빠른 대처로 인해서 생각보다 피해는 적었습니다. 하지만, 해외에서는 이번 사태로 국가 시설까지 랜섬웨어에 감염되어 기반 시설이 마비되는 큰 피해를 입었습니다. 



또한, 랜섬웨어 피해 기업은 보안이 부실한 기업이 낙인 찍힐 수 있기 때문에 걸리고서도 신고를 하지 않고 숨기는 경향이 많습니다. 따라서, 실제 피해는 더 클 것으로 보고 있습니다. 실제적으로 수치만 놓고 보면 워너크라이는 전 세계 150개 국에서 20만건이 넘는 피해를 일으킨 랜섬웨어 입니다. 


실제로 얼마전 5월 20일에는 한 토플 시험장에서 시험시작을 앞두고 시험용 컴퓨터에 랜섬웨어가 감염되여 시험이 취소되는 일이 일어났습니다. KISA에서 현장조치를 나갔지만 해당 시험 주관사는 해당 PC를 포맷처리 했다면서 KISA의 조치를 거부하였습니다. 


랜섬웨어에 감염되면, 현실적으로 파일 복구 방법은 없습니다. 해커가 비트코인 결제를 유도한 후 제공하는 복호화툴은 복호화될 것이라는 보장이 없으며, 대게는 비트코인을 입급하면 파일을 복호화 해주지 않습니다. 이번 워너크라이 감염시에 해커에게 돈을 입금한 많은 기업들이 있었지만 해커가 파일을 복구에 준 경우는 단 1건도 없는 것으로 나타났습니다.


랜섬웨어는 예방이 중요합니다. 랜섬웨어는 사후조치로 해결할 수 있는 악성코드가 아닙니다. 안전한 파일 백업과 랜섬웨어 사전차단이 가능한 안티랜섬웨어 솔루션을 설치하여 랜섬웨어를 방어하는 것이 가장 중요합니다. 


시중에 많이 출시되어 있는 랜섬웨어 백신들은 시그니처 기반(Signature Based) 랜섬웨어 백신입니다. 시그니처 기반은 기존에 있는 랜섬웨어 데이터베이스를 기반으로 대초하여 랜섬웨어를 판별하는 방식으로 기존 랜섬웨어 탐지에는 우수하나 신종과 변종 랜섬웨어는 탐지할 수 없기에 취약합니다. 


그 밖에 행위 기반(Behavior Based), 샌드박스(Sandbox), 네트워크(Network) 기반 랜섬웨어 탐지 솔루션이 있지만 모두 관련 데이터베이스가 있어야지 탐지가 가능하므로 신종과 변종에 취약하며 매번 업데이트를 진행해야 합니다. 



앱체크 프로 안티랜섬웨어 솔루션은 상황 인식 기반 랜섬웨어 탐지 기술을 적용하여 기존의 데이터베이스 없이도 랜섬웨어 이상 징후를 조기에 발견하여 차단할 수 있습니다. 이는 랜섬웨어 자체의 콘텐츠를 탐지하는 것이 아니고 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능한 것입니다. 


이미 앱체크는 출시 이후, 많은 사용자 들의 검증을 받은 우수한 랜섬웨어 전용 백신입니다. 



앱체크 안티랜섬웨어는 국내에서 유일하게 랜섬웨어의 사전 방어와 실시간 백업, 자동 백업의 3중 보호 솔루션을 탑재한 PC용 안티랜섬웨어 제품입니다. 



#1. 시그니처 없는 랜섬웨어 방어 솔루션

자체 개발한 CARB 엔진은 단 하나의 시그니처 없이 알려지지 않은 랜섬웨어를 탐지하고 차단합니다.


#2. 랜섬웨어 및 생성파일 자동 삭제

랜섬웨어 및 훼손 파일을 삭제하고 원상 복귀시켜 업무 중단을 최소화합니다.


#3. 원격지에 자동 백업 및 복원으로 완벽한 보호

혹시 모를 위협에 대비하여 파일 훼손시에 실시간으로 백업하여 디스크 용량 걱정 없이 안심하고 사용할 수 있으며, 지정된 시간에 원하는 폴더를 주기적으로 원격지에 백업합니다. 


#4. 가볍고 효율적인 CARB 엔진

앱체크는 타 보안 솔루션 대비 리소스를 약 73% 덜 소비하여, 안정적 시스템 이용 및 효율적 서버 운영을 가능하게 합니다.


#5. 세계 유일 공유 폴더 보호 기능

공유된 폴더를 원격지에 훼손하더라도 이를 탐지 및 차단하고 손상된 파일을 자동으로 복구합니다.


#6. 세계 유일 서버용 랜섬웨어 솔루션

서버에서 공유된 폴더 내 파일을 원격지에서 훼손하더라도 이를 감지하고 접근을 차단하여 공유된 데이터를 안전하게 보호합니다.



다양한 사용자 환경과 GS 인증으로 검증된 안정성 보장

커널 레벨에서 동작하는 랜섬웨어의 상황인식 기반 엔진은 속도와 안전성 그리고 호환성을 보장해야 하며 제한된 환경에서 다양한 기능을 추가하는 일은 높은 기술적 난이도를 요구합니다. 앱체크는 월 15만의 활성 사용자를 보유하였고, 이를 통해서 다양한 사용자 환경에서 검증되었습니다. GS 인증 1등급 획득으로 제품의 안정성과 기술력을 인정 받았습니다. 







기업용 앱체크 프로 1개월 무료 라이선스 행사


아이마켓코리아에서는 기업용 안티랜섬웨어 솔루션인 앱체크 프로(AppCheck Pro) 버전 1달 무료 라이선스 제공 프로모션을 진행하고 있습니다. 아래 신청 양식에 내용을 적어주신 후 담당자 이메일(raykim7@imarketkorea.com)으로 보내주시면 기업용 1개월 무료 라이선스를 발급해드립니다. 많은 신청바랍니다. (최대 30 Copy)


[앱체크 프로 기업용 1개월 무료 라이선스 이메일 신청 양식]

- 기업명 : 

- 담당자 : 

- 이메일 : 

- 연락처 : 

- 회사 수량 : 

- 신청 수량 : 30 Copy

- 무료 기간 : 30일

- 비고 : 

※ 서버용 라이선스 요청시 서버라이선스도 10 Copy를 제공합니다. 


무료 라이선스 신청 이메일 보내실 곳 (김경일 과장)

이메일 : raykim7@imarketkorea.com

전화번호 : 02-3708-8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

워너크라이(WannaCry) 랜섬웨어 차단 동영상 및 예방법 안내

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2017.05.16 10:52 / 카테고리 : 랜섬웨어 예방 솔루션



최근에 가장 큰 이슈라고 하면 바로 랜섬웨어입니다. 사상 유래없는 랜섬웨어 감염사태로 인해 많은 기업과 기관을 피해를 입었습니다. 다행히 국내에서는 업무를 진행하지 않는 휴일에 퍼지기 시작한데다가 정부와 관련 기관의 발빠른 대처로 인해서 대부분의 조치사항을 완료한 이후에 업무를 시작하였기 때문에 피해가 예상보다 적었습니다.



하지만 워너크라이 랜섬웨어는 굉장히 위협적인 랜섬웨어로 현재 감염된 파일은 복구 방법이 없습니다. 감염된 파일은 비트코인을 지불하여도 해커는 파일을 복구해주지 않습니다. 이번 워너크라이 사태에서 해커가 돈을 받고 복구해준 사례는 단 1건도 없는 것으로 나타났습니다.


앱체크 안티랜섬웨어(AppCheck Anti-Ransomware) 제품에서는 별도의 업데이트없이 WannaCry 랜섬웨어(Ransomware)를 방어할 수 있습니다. 앱체크가 랜섬웨어 워너크라이를 방어하고 차단하는 동영상은 아래를 참고해주시기 바랍니다.




  • 배포 방식 : ETERNALBLUE 취약점으로 SMBv1 프로토콜을 통한 원격 접속 및 감염 ​​​​​​​
  • MD5 : 84c82835a5d21bbcf75a61706d8ab549
  • 주요 탐지명 : Trojan.Ransom.WannaCryptor.A (BitDefender), Ransom:Win32/WannaCrypt (Microsoft)
  • 파일 암호화 패턴 : .WNCRYT → .WNCRY
  • 주요 특징 : - 오프라인 암호화 - 한국어(Korean)를 포함한 28개 언어로 결제 안내 메시지 생성 - 바탕 화면 배경(C:\Users\%UserName%\Desktop\@WanaDecryptor@.bmp) 변경


동영상 내용과 같이 다른 별도의 조치 없이,체크만 설치하여도 예방이 가능합니다. 별도로 더 안전한 조치를 위해서는 아래에 랜섬웨어 예방 백신인 앱체크(AppCheck) 개발사가 공개한 랜섬웨어 워너크라이(WannaCry) 증상을 참조하시기 바랍니다.


[공지] SMB 취약점을 이용한 WannaCryptor 랜섬웨어(.WNCRY) 유포 주의

출처 - 앱체크 개발사 체크멀(Checkmal) 홈페이지

KISA에서 배포한 "SMB 취약점을 악용한 랜섬웨어 피해확산 방지를 위한 사용자 예방 방법" 자료를 다음 링크에서 확인하실 수 있습니다.


2017년 5월 12일 전후로 전 세계를 대상으로 매우 짧은 시간 내에 역대 최고 수준의 WannaCry / WannaCryptor / WCry 랜섬웨어(Ransomware)를 이용한 파일 암호화 공격이 이루어지고 있기에 매우 주의가 요구됩니다. 


특히 유포 방식이 2017년 3월 Microsoft 정기 보안 업데이트를 통해 MS17-010 보안 패치가 이루어진 ETERNALBLUE 취약점을 통해 Worm 방식으로 전파되고 있으므로 보안 패치가 이루어지지 않은 환경에서는 피해가 예상됩니다. 


해당 보안 취약점은 미국 NSA에서 운영한 취약점으로 Shadow Brokers 해킹 그룹에 의해 공개되었으며 Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT 8.1, Windows 10, Windows Server 2016 운영 체제 환경에서 MS17-010 보안 패치가 이루어지지 않은 경우 특수하게 조작된 메시지를 Windows SMBv1 서버에 보내서 원격 코드 실행이 가능한 Windows SMB 원격 코드 실행 취약점(CVE-2017-0143, CVE-2017-0144, CVE-2017-0145, CVE-2017-0146, CVE-2017-0148)입니다.



코드 실행이 이루어진 경우 문서, 사진, 영상, 음악, 압축 파일 등의 개인 데이터 파일을 .WNCRYT 확장명 형태로 암호화한 후 .WNCRY 확장명으로 최종 변경합니다. 


파일 암호화 과정에서 taskdl.exe 파일(SHA-1 : 47a9ad4125b6bd7c55e4e7da251e23f089407b8f)을 통해 다음과 같은 프로세스가 실행 중인 경우 자동 종료 처리하여 관련 데이터가 암호화될 수 있도록 처리합니다. 

  • taskkill.exe /f /im mysqld.exe 
  • taskkill.exe /f /im sqlwriter.exe 
  • taskkill.exe /f /im sqlserver.exe 
  • taskkill.exe /f /im MSExchange* 
  • taskkill.exe /f /im Microsoft.Exchange.* 


또한 모든 폴더 및 파일에 대한 접근 권한 획득 목적으로 "icacls . /grant Everyone:F /T /C /Q" 명령어를 실행합니다.



WannaCryptor 랜섬웨어는 파일 암호화 과정에서는 암호화 대상 원본 파일을 그대로 유지하며 암호화가 완료되는 시점에서 원본 파일을 자동 삭제하여 복구할 수 없도록 하며, 암호화 과정에서 임시 생성된 .WNCRYT 파일은 임시 폴더(%Temp%)로 <숫자>.WNCRYT 형태로 이동한 후 자동 삭제 처리합니다.



파일 암호화 완료 후 사용자에 의한 시스템 복원 및 복구 옵션 기능을 이용할 수 없도록 다음과 같은 명령어를 통해 VSS(볼륨 섀도 복사본 서비스) 및 부팅 복구 옵션을 삭제합니다.


  • vssadmin delete shadows /all /quiet
  • wmic shadowcopy delete
  • bcdedit /set {default} bootstatuspolicy ignoreallfailures
  • bcdedit /set {default} recoveryenabled no
  • wbadmin delete catalog -quiet


이후 "Wana Decrypt0r 2.0" 랜섬웨어 메시지 창을 통한 Tor 통신 목적으로 https://dist.torproject.org/torbrowser/6.5.1/tor-win32-0.2.9.10.zip 파일을 다운로드하여 "C:\Users\%UserName%\AppData\Roaming\tor" 폴더에 파일을 압축 해제하여 "\\TaskData\Tor" 폴더에 관련 파일을 생성합니다.



최종적으로 생성된 "Wana Decrypt0r 2.0" 메시지 창은 사용자 운영 체제 언어에 따라 28개 언어로 표시되며, 일정 시간 내에 비트코인(Bitcoin)을 지불하도록 안내하고 있습니다.



그 외에도 @Please_Read_Me@.txt 랜섬웨어 결제 안내 파일 생성을 통해 지불 방법을 안내하고 있으며, 바탕 화면 배경을 @WanaDecryptor@.bmp 이미지 파일로 변경합니다.




이와 같이 랜섬웨어는 사후조치가 아닌 사전예방이 중요합니다. 랜섬웨어는 기업에게 돈을 받아낼 목적으로 기업의 주요 파일과 기밀정보를 암호화시켜 업무와 중요자산을 마비시키고 데이터를 인질삼아 돈을 받아내는 악질적인 공격 행위 입니다. 또한, 변조가 심하기 때문에 기존의 시그니처 기반(기존 랜섬웨어 데이터와 비교하여 판단) 방식은 예방에 많은 도움을 주지 못합니다. 


워너크라이와 같은 신종 랜섬웨어를 예방하기 위해서는 차세대 엔드포인트 안티 랜섬웨어 솔루션인 앱체크(AppCheck)를 설치하여야 합니다. 앱체크는 상황 인식 기반의 랜섬웨어 행위 탐지 엔진을 도입하였기 때문에 기존 랜섬웨어의 데이터베이스 없이도 랜섬웨어를 탐지가능하고, 신종과 변종 랜섬웨어까지 잡아낼 수 있습니다.


1. 상황 인식 기반 랜섬웨어 탐지 엔진은 사용자가 원하지 않는 파일의 변화를 탐지하여 방어합니다.

2. 매모리 맵핑 방식, 하드 링크 방식 등의 알려지지 않는 제로데이(Zero-Day) 랜섬웨어의 파일 파괴 행위를 탐지하고 차단합니다.

3. 자동의 훼손된 파일을 복구하고 랜섬웨어가 생성한 파일을 삭제하여 업무의 연속성을 유지할 수 있습니다. 


또한, 자동으로 중요한 정보의 자산을 보호할 수 있는 자동 파일 백업 기능인 랜섬가드 기능을 가지고 있습니다. 랜섬웨어로 파일 훼손시 원본 파일을 별도로 보관합니다.


1. 랜섬가드는 훼손되는 원본 파일만 별도로 보관하기 때문에 디스크 공간의 효율성을 높여줍니다.

2. 통합된 백업 스케쥴링을 통해 추가적인 보호막을 구성하여 랜섬웨어 탐지에 실패하더라도 복구할 수 있는 안전한 대한을 제공합니다.

3. 네트워크 공유 파일에 대해서 의도하지 않은 원격지로부터의 파일의 훼손을 차단하고 원상복구 합니다.


앱체크(Appcheck)는 개인과 비상업적인 용도는 무료이며, 기업과 기관, 영리단체는 반드시 유료버전인 앱체크 프로(AppCheck Pro) 버전을 구매하셔야 합니다.




아이마켓코리아에서는 앱체크 프로버전을 정가보다 더 저렴하게 구매하실 수 있는 기업 고객 특가 프로모션을 진행 중입니다. 대량 구매 및 장기 구매시 더 저렴한 가격으로 구입이 가능합니다. 자세한 가격은 아래의 아이마켓코리아 담당자에게 연락 주시면 견적을 전달해드리겠습니다. 


앱체크 프로 기업 버전 구매 상담 전화

02 - 3708 - 8254



(주) 아이마켓코리아
김 경 일

과장 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090



Trackbacks 0 / Comments 0

랜섬웨어 통합 보안 솔루션 앱체크 프로(Appcheck Pro) 소개

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.09.28 10:23 / 카테고리 : 랜섬웨어 예방 솔루션



앱체크 프로는?

1. 국내 유일의 랜섬웨어 사전방어 / 자동복구 / 백업 기능을 통합한 솔루션입니다.

2. 파일 훼손 행위를 추적 → 탐지 → 차단 → 복구 완벽 프로세스를 지원합니다. 

3. 독보적 상황 인식 기반의 "CARB" 엔진을 적용하였습니다.



AppCheck Pro 특장점

상황 인식 기반 엔진을 바탕으로 고도화된 랜섬웨어 위협에 노출되어 있는 지적 자산 및 데이터를 안전하게 보호하는데 필요한 종합적인 기능을 제공하는 랜섬웨어 대응 솔루션입니다.



Appcheck Pro 온라인 카탈로그 다운로드

엡체크 프로 아이마켓 160906.pdf







주요 기능 소개

1. 랜섬웨어 사전 방어

- CARB 엔진을 이용한 랜섬웨어 행위 탐지 시 자동으로 악성 프로세스 차단 및 웨손된 파일 자동 복구 기능

2. 랜섬웨어 대피소

- 파일 훼손 행위 발생시에 자동으로 랜섬웨어 대피소에 있는 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능

3. 랜섬웨어 차단 후 자동 치료

- 랜섬웨어 행위 탐지를 통해 차단 및 생성된 관련 파일에 대한 선별적 자동 치료(삭제) 기능

4. 로그 정보 세분화

- 시스템 검사 결과, 검역소, 위협 로그,일반 로그 세분화 및 세부적인 복원/제거 로그 제고

5. 자동 백업

- 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능

6. 폴더 보호

- 랜섬웨어 대피소와 자동 백업 폴더에 저장된 파일에 대한 변경 및 삭제를 원천 차단하는 폴더 보호 기능



도입 효과

1. 급격히 진화하는 랜섬웨어 위협에 국내 유일의 사전 방어 기술을 탑재하여 랜섬웨어 위협으로부터 소중한 디지털 자산을 보호

2. 시그니처 기반 제품이 아닌 프로세스 기반 제품으로 다양한 공격에 능동적 대응 및 복구 기능

3. 사전 방어에서 자동 백업까지 통합된 SW 방식으로 가장 저렴하게 구축 가능

4. 최적화된 드라이버로 동작하여 리소스 소모가 적고 저사양 하드웨어 환경에서도 적용 및 운용 가능

5. 제품 설치 파일의 경량화 및 패턴 업데이트가 필요하지 않아 대규모 배포, 설치, 적용이 쉬움

6. 백신 등 각종 보안 제품과 충돌 없이 상호 보완적으로 보안 강화가 가능

7. 주요 데이터 및 폴더에 대한 보호와 더불어 자동 백업 및 복구 가능

8. 멀티 엔진 적용으로 각종 보안 위협에 유연하고 강화된 대응 가능




랜섬웨어란?

기존의 방화벽, IPS, AV, 심지어 가상화 기반의 APT 대응 솔루션도 다양한 탐지 우회를 통하여 사용자의 파일 및 데이터를 훼손시켜 업무/비업무에 심각한 지장을 초대하는 고도화된 보안 위협입니다. 





캅 엔진이란?

시그니쳐/단순 행위 기반의 솔루션으로는 랜섬웨어와 같은 고도화된 다양한 보안 위협으로부터 시스템을 보호한다는 것은 현실적으로 불가능합니다. 


1. 실제 랜섬웨어는 전 세계 백신 1~2가지를 제외하고는 미탐지 상태에서 유포됨 (Virustotal 기준)

2. 기존 백신의 범용적인 행위 탐지는 쉽게 우회되고 지속적인 변종에 대한 방어가 어려움


캅(CARB) 엔진은 이러한 문제점이 존재하는 시그니처/단순 행위 기반의 탐지 방식이 아닌, 파일 변조 상황에서 랜섬웨어에 의한 파일 훼손 여부를 정교하게 인식할 수 있도록 제작된 독보적 엔진입니다.




동작 방식

다양한 파일 암호화 및 훼손 행위만을 단계별로 추적하여 정교하게 탐지 및 차단, 자동 복구 기능을 제공하며, 특히 타 솔루션과는 차별적으로 안전한 데이터 보호를 위한 실시간 백업, 스케쥴 자동 백업 및 폴더 보호 기능을 통합하여 최고 수준의 통합 랜섬웨어 솔루션으로 고객의 자산을 보호합니다. 




캅 엔진 특장점



랜섬웨어 통합 보안 솔루션인 앱체크 프로에 대한 도입 문의 및 견적 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다.


엡체크 프로 아이마켓 160906.pdf




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

기업 랜섬웨어 복구툴 - 앱체크 안티랜섬웨어 (아이마켓코리아)

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.09.22 18:56 / 카테고리 : 랜섬웨어 예방 솔루션



랜섬웨어 피해 급증, 기업 표적형 APT 형태로 진화

최근 시스코가 내놓은 보안 위협 동향 보고서인 "Cisco 2016 Midyear Cyber Security Report"에 따르면, 랜섬웨어는 수익 극대화를 위해 다양한 변종을 내놓으면서 진화하는 것으로 나타났습니다. 취약한 보안 인프라와 허술한 네트워크와 탐지 솔루션의 부재 및 노후화로 인해서 신종, 변종 랜섬웨어에 대응하는 것이 가장 힘들다고 조사되었습니다.


랜섬웨어는 목적이 돈을 얻어내는 것이기에 가장 효과적인 공격 방법을 택하며, 다양한 변종으로 인해 대응이 어려운 것이 특징입니다. 랜섬웨어 방어에 있어서 가장 효과적인 방법은 자료 백업, 랜섬웨어 변종에 대한 사전탐지 및 대응입니다. 


최근에는 업종과 지역을 불문하고 공격을 가하기 때문에 표적 대상이 광범위 할 뿐더러, 아예 기업을 노리고 전문적으로 활동하는 랜섬웨어도 있습니다. 특히 지능형, 표적형으로 진화한 APT 공격으로 대상을 확보하고 랜섬웨어 악성코드를 투입함으로써 개인정보와 민감한 기밀이 많은 기업을 대상으로 하는 표적형 랜섬웨어 범죄가 급증하고 있습니다. 


[랜섬웨어 테슬라크립트 감염시 나타나는 페이지]


글로벌 보안업체 시만텍에 따르면 랜섬웨어 감염의 43%가 기업입니다. 랜섬웨어 공격으로 요구하는 몸값도 올 상반기 기준으로 약 77만원까지 올랐습니다. 2015년, 국내에서 일어난 랜섬웨어 공격이 총 4천 400건 에 달해서 더 이상 대한민국도 랜섬웨어 안전지대가 아닙니다.


예전에는 기술을 과시하려던 10대 들의 해킹, 랜섬웨어 범죄가 많았지만 최근에는 80%의 해커는 범죄조직과 협력하여 조직적으로 움직이는 기업형 조직이고, 사이버 조직 범죄 유형의 40%는 이미 35살 이상의 성인이 저지르는 것으로 조사되었습니다. 




랜섬웨어 변종 탐지/방어, 실시간 파일 백업 - 앱체크

아이마켓코리아에서는 별도의 DB 업데이트 없이 "상황 인식 기반 행위 탐지 기술"을 통해서 랜섬웨어 변종을 탐지하고 방어하는 안티랜섬웨어 툴인 앱체크 안티랜섬웨어를 판매하고 있습니다. 



랜섬웨어 백신에서 가장 중요한 것은 바로 탐지 능력입니다. 특히 변종이 많은 랜섬웨어의 경우에는 수시로 DB 업데이트를 할 수 없기 때문에 DB 업데이트로 변종을 탐지하기란 불가능에 가깝습니다. 또한, 기존 방식의 랜섬웨어 솔루션은 신종 랜섬웨어에 대한 방어가 불가능합니다.


앱체크 프로는 상황 인식 기반 행위 탐지 기술을 통해 변종은 물론, 알려지지 않은 신종 랜섬웨어까지 탐지가 가능합니다. 


랜섬웨어 사전 방어 뿐만아니라 기업의 중요한 데이터를 자동 백업하여 보호하는 자동 복구 및 자동 백업 기술을 지원합니다. 이를 통해서 어떠한 상황에서도 완벽하게 데이터를 보호할 수 있습니다. 



앱체크 프로 - 랜섬웨어 탐지 및 차단 영상


 




3개월 간 업데이트 없이 신종 랜섬웨어 90% 이상 탐지!

앱체크는 3개월간 단 한번의 업데이트 없이신종 랜섬웨어 30개 중에서 27개의 사전 방어에 성공 90%)하였습니다. 기존의 랜섬웨어 백신은 시그니쳐 방식으로 해당 시그니쳐 방식의 백신은 3개월간 업데이트 없이 단한건의 신종 랜섬웨어를 탐지하지 못하였습니다. 

시그니쳐 기반의 랜섬웨어 백신으로 앱체크 랜섬웨어의 탐지 성능을 따라잡으려면 DB 업데이트를 약 400회 이상 진행하여야 합니다.





주요 특징 정리

1. 랜섬웨어 사전 방어 및 자동 복구
상황 인식 기반 랜섬웨어 행위 탐지 기술을 이용한 정교한 사전 방어와 자동 복구를 동시에 제공합니다.


2. 랜섬웨어 대피소

파일 훼손 시 자동백업을 수행하여 더욱 안전하게 원본 파일을 보호하는 기능을 지원합니다.


3. 자동 백업 및 폴더 보호

파일 히스토리 방식의 데이터 자동 백업을 통해 추가 보호 및 안전한 폴더 보호를 지원합니다.





엡체크 프로의 랜섬웨어 사전 탐지 원리


앱체크의 상황 인식 기반 랜섬웨어 탐지 기술은 기존 방식처럼 랜섬웨어 콘텐츠를 보는 것이 아니고 파일의 변조 시점에 정상적 변경과 악의적 변경을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능합니다.


이를 가능 하게 하는 것은 바로 CARB 엔진(Context Awareness Ransomware Behavior detection engine : 상황인식 랜섬웨어 행위 기반 엔진)입니다. 


파일이 변경될 때, 확인 할 수 있는 정보는 생각보다 다양하고 많습니다. 앱체크 프로는 이를 추적하고 관리하여 정상적인 파일의 변경과 비정상적인 파일의 변경 구분이 가능합니다. 이를 통해, 랜섬웨어의 악의적인 파일 변조 기능으로 소중한 파일이 손상되는 것을 방지합니다. 









앱체크 프로는 타 랜섬웨어 백신과 비교시 다양한 기능을 지원합니다.





시스템 부하 테스트 


앱체크 프로는 벤치마킹 툴인 PCMark7을 이용한 시스템 부하 측정시에도 시스템 영향이 가장 적은 것으로 나타나 앱체크의 CARB 엔진의 우수성을 보여주었습니다. 아래의 표시에 확인이 가능하며 가장 높은 점수를 보여주는 것이 시스템의 부하가 적은 상태입니다. 




앱체크 프로 특장점 요약

1. 국내 유일 랜섬웨어 사전 방어 솔루션

- CARB 엔진을 이용하여 탐지시 자동으로 악성 프로세스 차단 및 훼손된 파일 자동 복구 기능 지원


2. 랜섬웨어 대피소

- 파일 훼손 발생 시 자동으로 랜섬웨어 대피소 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능


3. 자동 백업 

- 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 이중보호 기능


4. 자동 치료

- 랜섬웨어 행위 탐지를 통해서 차단 및 생성된 관련 파일에 대한 선별적인 자동치료 (삭제) 기능


5. 폴더 보호

- 랜섬웨어 대피소와 자동 백업 폴더 내에 저장된 파일에 대한 변경 및 삭제를 원천 차단하는 폴더 보호 기능


6. 상세 내역

- 시스템 검사 결과, 검역소, 위협 로그, 일반 로그 세분화 및 세부적인 복원/제거 로그 제공



상황 인식 기반 랜섬웨어 보안 솔루션인 앱체크 프로버전의 견적 및 프로모션 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다. 



(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090







AppCheck Pro 영업 파트너 문의02-3708-8254로 연락주시기 바랍니다.

Trackbacks 0 / Comments 0

악성코드 랜섬웨어 공격, 작년보다 4배 증가

작성자 : 아이마켓코리아 아이마켓코리아 / 날짜 : 2016.08.23 14:17 / 카테고리 : 랜섬웨어 예방 솔루션


랜섬웨어란?

랜섬웨어(Ransomware)는 개인이나 기업의 컴퓨터를 장악한 후에 문서나 중요 파일들을 암호화하여 열지 못하게 한 뒤 이를 인질로 삼아 몸값을 요구하는 악성코드를 말합니다. 이러한 악성코드의 공격이 미국에서 급증한 것으로 나타났습니다. 


랜섬웨어는 주로 이메일이나 소셜네트워크, 파일 전송 서비스 등을 이용하여 유포되고 있으며 랜섬웨어를 통해 파일을 암호화시켜 열지 못하게 한뒤에 몸값(Ransom)을 요구하는 방법으로 협박합니다. 특히, 기밀파일이나 사생활 관련 파일이 암호화 된 경우에는 당국 수사기관에 신고하지 못하고 몸값을 지불하는 경우가 많아서 실제 피해 건 수는 더 많은 것으로 추정되고 있습니다. 




더욱 무서운 점은 이러한 악성코드는 컴퓨터에 침입시키는 방법이 매우 간단하고 이러한 프로그램 자체도 유통되고 있어서 다른 해킹 방법보다 간단하고 돈을 벌기도 쉽기 때문입니다.


그리고, 당국의 수사를 피하기 위한 전자화폐인 비트코인도 이러한 범죄에 큰 역할을 하고 있습니다. 랜섬웨어 덕분에 비트코인의 거래량이 늘어나서 시세가 오른 점도 이를 증명하고 있습니다. 


월스트리트저널은 하루 평균 4천 건의 랜섬웨어 공격으로 인한 피해가 발생하고 있다고 미국 법무부의 자료를 인용하여 보도자료를 발표하였습니다. 이는 1년 전과 비교할 때보다 4배나 많은 것으로 나타났습니다. 


기업을 노리는 랜섬웨어

그리고, 이러한 랜섬웨어 타겟은 더 지갑을 열기 쉽고, 더 많은 지불할 능력이 되는 기업을 노리는 형태로 진화하고 있어서 개인보다는 기업에 있어서 랜섬웨어 방어는 특히 더 중요해졌습니다. 





2015년에는 몸값이 1건당 평균 1만달러 정도 였다면, 2016년 올해는 1건 당 33만 3000달러로써 33배 이상 증가하였습니다. 그리고 한번 랜섬웨어의 감염된 PC는 추후에도 랜섬웨어에 감염될 확률이 높은 것으로 나타났습니다. 


국내에서는 대형 커뮤니티에 서비스되는 광고 서버를 통해서 Cryptxxx 랜섬웨어가 유포되는 사고가 발생하여 웹페이지를 방문하는 것만으로도 감염이 되는 Cryptxxx 랜섬웨어를 통해서 많은 사용자 피해가 발생하였습니다. 특히, 해당 커뮤니티를 방문하는 기업의 직원이 이 사이트에 접속하는 순간 감염되어 사내 네트워크를 타고 사내 PC가 전부 감염되는 사례도 있었습니다. 





바이러스 백신이 아닌 랜섬웨어 전용 백신이 필요

랜섬웨어 전용 백신, 방어 솔루션을 이용해야 랜섬웨어 사건 사고를 막을 수 있습니다. 하지만 가장 많은 수를 차지하는 기존 콘텐츠 기반 탐지 기술은 악성코드를 구분하기 위해서 URL, 파일이름, 레지스트리 값, 경로 등의 콘텐츠를 활용해야 합니다. 


이는, 기존의 악성코드 패턴을 알아야지 탐지가 가능하다는 점이 약점이며, 기존 DB를 참조해야 되기 때문에 새로운 랜섬웨어 출현시에는 탐지가 불가능 하다는 한계를 나타내고 있습니다. 



[기존 콘텐츠 기반 탐지 기술]

- Signature based : 주로 파일내의 특정 부분을 해시로 변환하여 참조하는 방법

- Behavior based : 악성코드가 수행하는 특정 행위를 패턴화시켜 탐지하는 방법

- Sandbox : 가상환경안에서 악성코드를 실행시켜 행위 등을 보고 탐지하는 방법

- Network : 네트워크상의 통신 정보를 기반으로 악성코드를 탐지하는 방법




랜섬웨어 토탈 솔루션 앱체크

랜섬웨어 전용 백신인 체크멀 앱체크(Checkmal AppCheck)는 기존의 랜섬웨어 백신의 약점을 모두 보완한 랜섬웨어 전용 백신으로 상황 인식 탐지 기법을 통해서 랜섬웨어를 탐지합니다. 




상황인식 탐지 기법이란 주변 패턴이나 환경 등, 모든 정보를 종합하여 상황을 인지하고, 그 상황에 맞도록 최적의 대응 행동을 수행하는 기법을 말합니다. 


상황 인식 기반 랜섬웨어 탐지 기술은 기존의 탐지 방식처럼 랜섬웨어의 콘텐츠를 통해서 탐지하는 것이 아니고 파일의 변조시점에 정상적인 변경과 악의적 상황을 판단하기 때문에 별도의 업데이트 없이도 신종 랜섬웨어의 사전 탐지가 가능하다는 장점을 가지고 있습니다. 



파일이 변경되었을 때의 확인 할 수 있는 정보는 생각보다 다양하고 많습니다. 체크멀 앱체크는 이를 추적하여 정상적인 파일의 변경과 비정상적 변경 구분이 가능합니다.  이 기술은 캅(CARB) 엔진을 통해서 구현하고 있습니다.




CARB 엔진은 상황 인식 기반의 행위 탐지 기술로 파일 변조 시점의 상황을 판단하며 변조 전후 시점을 파악하므로 기존 솔루션에서 불가능했던 파일의 변화를 실시간으로 분석, 알려지지 않은 랜섬웨어의 탐지가 가능합니다.


CARB 엔진은 3개월간 업데이트 없이 30종의 신종 랜섬웨어 중 27개를 사전 방어에 성공하여 90%의 사전 방어율을 보였습니다. (시그니처 방식의 엔진은 0%). 이는 시그니처 방식 엔진의 약 400회 업데이트에 해당하는 기간입니다.






앱체크 랜섬웨어 차단 시연 영상




[앱체크 악성코드 차단 영상]

- 악성코드명 : 포켓몬고 (Pocketmon GO)

특징 : 오프라인 암호화(Offline Encryption), Hidden-Tear 오픈 소스 기반 랜섬웨어, Hack3r 윈도우 로컬 사용자 계정 추가, 아랍어(Arabic) 사용자 표적, 다른 파티션/드라이브/네트워크 공유 폴더에 PokemonGo.exe 파일 생성을 통해 유포 확장




[앱체크 프로 (기업용) 기능 요약]

- 국내 유일 사전 방어 : 캅(CARB) 엔진을 이용한 랜섬웨어 행위 탐지 시 자동으로 악성 프로세스 차단 및 훼손된 파일 자동 복구 기능

- 랜섬웨어 대피소 : 파일 훼손 행위 발생 시 자동으로 랜섬웨어 대피소 백업 폴더에 원본 파일 저장을 통한 데이터 보호 기능

- 자동 백업 : 주기적으로 지정된 폴더 내의 파일을 파일 히스토리 방식으로 자동 백업 폴더에 백업하는 데이터 2중 보호 기능

- 자동 치료 : 랜섬웨어 행위 탐지를 통해 차단 및 생성된 관련 파일에 대한 선별적 자동 치료(삭제) 기능

- 폴더 보호 : 랜섬웨어 대피소와 자동 백업 폴더 내에 저장된 파일에 대한 변경 및 삭제를 원천 차단하는 폴더 보호 기능

- 상세 내역 : 시스템 검사 결과, 검역소, 위협 로그, 일반 로그 세분화 및 세부적인 복원/제거 로그 제공




상황 인식 기반 랜섬웨어 전용 백신인 앱체크의 견적 및 프로모션 문의는 하단에 있는 아이마켓코리아 담당자에게 연락주시기 바랍니다. (기관/기업 대량 구매 견적 가능)




(주) 아이마켓코리아
김 경 일

대리 │ IT 솔루션 영업팀

TEL 02-3708-8254
E-mail : raykim7@imarketkorea.com
서울특별시 강남구 삼성동 삼성로512 삼성동빌딩 16층 우)135-090


Trackbacks 0 / Comments 0

Blog Information

아이마켓코리아

보안솔루션, HSM, 인증보안, DLP 솔루션, 암호화 장비, 기업서버 판매, 보메트릭, 센스톤, 다크트레이스

공지사항

블로그 검색

Calendar

«   2019/08   »
        1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

방문자 통계

  • 전체 : 361,297
  • 오늘 : 56
  • 어제 : 53
(주) 아이마켓코리아
주소 : 서울시 강남구 삼성로 512 삼성동빌딩 16층
대표이사 : 남인봉 | 사업자등록번호 : 104-81-58502
TEL : 02-3708-8254 | Mail : raykim7@imarketkorea.com
Copyright © imarketkorea.Co,Ltd All Rights Reserved.