랜섬웨어 확산 차단하기
랜섬웨어 검출 패턴 소개
랜섬웨어 검출 패턴은 다음과 같이 3가지 종류가 있습니다.
- 파일명 변경 작업 반복: 일부 랜섬웨어는 파일명을 변경하여 사용자들의 의심을 피하고 실행을 유도하는 방법을 사용합니다. 따라서 이를 탐지하기 위해 1분 동안 파일명을 변경할 수 있는 횟수를 설정하여 이를 초과 시 랜섬웨어로 분류합니다.
- 랜섬노트 파일 생성 반복: 랜섬노트(Ransom note) 파일이란 사용자에게 암호 해독에 따른 비용을 요구하면서 이에 대한 지불 방법을 담은 파일입니다. 랜섬웨어는 종류에 따라 암호화된 파일이 존재하는 폴더마다 랜섬노트 파일을 계속 생성하기도 합니다. 따라서 이를 탐지하기 위해서
1) 랜섬노트로 의심할 수 있는 파일명을 미리 등록한 후2) 해당 파일이 1분당 생성될 수 있는 횟수를 설정합니다. 설정한 분당 생성 횟수 초과 시 랜섬웨어로 판단하여 차단합니다.
- 랜섬웨어 의심 확장자: 랜섬웨어로 의심되는 확장자를 미리 등록하여 랜섬웨어를 탐지합니다. 많은 랜섬웨어가 파일의 확장자를 변경하는 특징을 갖고 있습니다. 주로 사용되는 랜섬웨어 확장자를 등록하여 이와 일치하는 파일을 탐지합니다.
랜섬웨어 확산 차단 메뉴는 중앙 서버문서함 내 파일에 관하여만 해당합니다. PC 보안디스크, 로컬 디스크 내 파일에는 해당 사항이 없습니다. 랜섬웨어로 검출할 패턴 설정 및 적용하기
랜섬웨어로 검출할 패턴의 설정 및 적용 방법은 다음과 같습니다.
1. 일반 모듈 관리 – Basic - 랜섬웨어 확산 차단 - 검출 패턴 관리를 클릭합니다.
2. 사용할 패턴의 랜섬웨어 검출 사용 버튼
을 활성화합니다.
3. 사용할 패턴의 설정값을 입력합니다. 여러 개의 프로세스 및 확장자를 추가할 때에는 ‘,’로 구분합니다.
- 파일 이름 변경 작업 반복:
- 분당 반복 횟수: 랜섬웨어로 판단할 기준이 되는 분당 반복 횟수(기본 값 20회)를 설정합니다.
- 검출 예외 프로세스: 필요에 따라 파일명의 변경 작업을 반복해야 하는 경우도 있습니다. 이러한 경우 검출 예외 프로세스 항목에 예외로 둘 프로그램의 프로세스명을 입력하면 랜섬웨어로 탐지되지 않습니다.
- 랜섬노트 파일 생성 반복:
- 랜섬노트 파일명: 랜섬노트 파일명을 입력합니다. 파일명 입력 시 *(별표)는 모든 문자열을 대신합니다. 따라서 ‘README*’와 같이 입력하면 ‘README’로 시작하는 모든 파일명을 등록할 수 있습니다.
- 분당 반복 횟수: 랜섬웨어로 판단할 기준이 되는 분당 반복 횟수(기본값 10회)를 설정합니다. 랜섬노트 파일명 항목에서 입력한 파일명과 동일한 이름의 파일이 설정한 횟수를 초과하여 반복 생성되는 경우 랜섬웨어로 분류합니다.
- 랜섬웨어 의심 확장자: 랜섬웨어로 의심되는 파일 확장자명을 입력합니다.
4. 적용을 클릭합니다.
랜섬웨어로 의심되는 프로세스 및 검출 내용 확인하기
랜섬웨어로 의심되어 차단된 프로세스, 사용자 IP 및 검출 내용을 확인할 수 있습니다.
검출된 내용은 관리자에게 검출 알림 메일로 발송되며 사용자에게는 검출 알림 메일과 메시지로 전송됩니다. 알림 메일에 관한 자세한 설정 방법은 랜섬웨어 확산 차단 정책 관련 설정을 참고하세요.
랜섬웨어 의심 대상으로 검출된 사용자의 프로세스는 문서함 내에서 읽기, 쓰기, 삭제 등 모든 작업이 차단됩니다. 그 외 프로세스는 문서함 내 작업이 허용됩니다.1. 일반 모듈 관리 – Basic - 랜섬웨어 확산 차단 - 의심 대상 차단 관리를 클릭합니다. 랜섬웨어로 의심되어 차단된 프로세스 목록을 바로 확인할 수 있습니다.
2. 검출이력 항목의 보기 버튼을 클릭합니다.
3. ‘상세보기’ 창에서 검출 내용을 확인합니다. 검출 내용 확인 후 실제 파일의 암호화되었는지 여부를 반드시 확인해야 합니다.
'상세보기’ 창에서 검출 전 3분간의 사용자 파일 작업 이력을 조회할 수 있습니다.
차단할 프로세스, 사용자ID 추가하기
특정 프로세스가 랜섬웨어에 감염된 것으로 확인하였거나 의심하는 경우 관리자는 프로세스명과 사용자 ID를 직접 추가하여 랜섬웨어의 확산을 차단할 수 있습니다.
1. 일반 모듈 관리 – Basic - 랜섬웨어 확산 차단 - 의심 대상 차단 관리를 클릭합니다.
2. 추가 버튼을 클릭합니다.
3. ‘추가’ 창에서 차단할 프로세스를 입력하고 사용자 ID를 검색합니다.
4. 확인을 클릭합니다.
프로세스 이름을 *로 설정하면 모든 프로세스가 차단될 수 있으니 주의하시길 바랍니다.
차단된 프로세스 및 사용자 삭제하여 차단해제하기
랜섬웨어로 의심되어 차단된 프로세스가 감염되지 않은 것으로 확인될 경우 목록에서 삭제하여 차단을 해제합니다.
1. 일반 모듈 관리 – Basic - 랜섬웨어 확산 차단 - 의심 대상 차단 관리를 클릭합니다.
2. 목록에서 삭제할 항목의 휴지통을 클릭합니다.
차단을 해제하기 전에 차단된 파일의 암호화 여부를 확인하여 랜섬웨어 감염 여부를 반드시 확인하세요.
사용자는 윈도우 에이전트에서 로그아웃 후 다시 로그인해야만 차단되었던 프로그램을 사용할 수 있습니다.
본 솔루션은 랜섬웨어에 감염되어 암호화가 진행된 파일을 이전 버전으로 복구할 수 있는 문서버전관리 기능을 제공합니다. 자세한 내용은 버전 확인하여 파일 복원하기를 참고하세요.Related Articles
관리자가 이전 버전 파일을 조회하여 복원하는 방법
관리자가 이전 버전 파일을 조회하여 복원하는 방법 버전관리는 이전 버전의 파일을 조회하여 복원하는 기능입니다. 랜섬웨어 감염으로 파일이 암호화되거나 작업 중 예상치 못하게 데이터가 손실된 경우 언제든지 복구할 수 있습니다. 이전 버전의 파일은 사용자가 파일을 저장할 때마다 자동으로 생성되며 손실되지 않도록 다른 위치에 저장됩니다. 버전관리는 Microsoft 365 파일, CAD 파일, PDF, Photoshop 이미지 파일, 사진, 비디오 ...랜섬웨어 알림이 있습니다
°클라우독 2022년 상/하반기 이전 구 버젼 : 해당 있음. °클라우독 2022년 하반기 이후 신 버젼 : 해당 있음. 랜섬웨어 탐지 프로그램이 문서중앙화 문서함에서 랜섬웨어 패턴으로 의심되는 동작으로 탐지되면, 자동적으로 해당 프로그램의 문서함 작업을 차단하여 감염을 최소화 합니다. 그 외 프로그램은 문서함 내 작업이 허용됩니다. 차단이 되면 사용자에게는 알림 메시지가 표시되고, 관리자에게는 알림 메일이 발송됩니다. 사용자 알림 표시 관리자 ...랜섬웨어 확산 차단 정책 관련 설정
메뉴 경로: 시스템 설정 - 설정 홈 연결 - 일반 모듈 설정 - Basic - 랜섬웨어 확산 차단 정책 랜섬웨어 확산 차단 정책 관련 설정 랜섬웨어 검출 시 관리자와 사용자에게 발송되는 메일 내용 및 메일 수신자를 설정할 수 있습니다. 관리자 알림 메일 수신 주소 의심되는 랜섬웨어 패턴 검출 시 관리자에게는 검출 알림 메일이 발송됩니다. 알림 메일을 받을 관리자의 메일 주소를 입력할 수 있으며 메일 주소 개수는 제한 없습니다. 기본값은 ‘사용 ...랜섬웨어 패턴 차단 설정 방법
첨부 문서 참고.모바일 앱에서 삭제한 파일 및 폴더의 복원, 영구 삭제하기
모바일 앱에서 삭제한 파일 및 폴더의 복원, 영구 삭제하기 모바일 앱에서 삭제된 파일 및 폴더를 삭제 전 경로로 복원하거나 중앙문서함에서 영구 삭제할 수 있습니다. 복원 및 영구 삭제 방법은 다음과 같습니다. 삭제한 파일 및 폴더 복원하기 1. 문서함에서 RECYCLER 폴더를 탭하여 선택합니다. 2. 복원할 파일 또는 폴더 우측의 작업 아이콘을 탭하고 복원을 선택하면, 삭제되기 이전에 위치했던 경로에 파일/폴더가 복원됩니다. 파일 및 폴더 ...