초록

본 발명은 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법 및 그 장치에 관한 것이다. 본 발명은, 운영체제 상에서 최초로 접근할 수밖에 없는 경로상에 함정파일(들)을 생성하여 두고, 이 함정파일에 접근하여 암호화 등의 변경 시도를 행하는 랜섬웨어 행위를 탐지하고 차단할 수 있도록 한 것이다.

대표청구항 ▼

함정파일을 컴퓨터 시스템 운영체계상 악성 프로세스가 최초 접근하는 파일명을 이용하여 생성하는 제1단계;정상 프로세스에 대한 악성 프로세스의 인젝션 행위를 모니터링하는 제2단계; 상기 인젝션 행위는 스레드 인젝션인지 또는 DLL 인젝션인지가 모니터링되는 것,상기 악성 프로세스의 함정파일에 대한 암호화로의 변경 시도 및, 시스템 복원파일을 삭제하려는 시도가 있는지를 탐지하여 차단하는 제3단계; 및상기 차단한 악성 스레드의 생성 주체를 스레드 인젝션 리스트와 DLL 인젝션 리스트를 통해 추적하는 제4단계로 이루어진 것을 특징으로 하는 컴

함정파일을 컴퓨터 시스템 운영체계상 악성 프로세스가 최초 접근하는 파일명을 이용하여 생성하는 제1단계;정상 프로세스에 대한 악성 프로세스의 인젝션 행위를 모니터링하는 제2단계; 상기 인젝션 행위는 스레드 인젝션인지 또는 DLL 인젝션인지가 모니터링되는 것,상기 악성 프로세스의 함정파일에 대한 암호화로의 변경 시도 및, 시스템 복원파일을 삭제하려는 시도가 있는지를 탐지하여 차단하는 제3단계; 및상기 차단한 악성 스레드의 생성 주체를 스레드 인젝션 리스트와 DLL 인젝션 리스트를 통해 추적하는 제4단계로 이루어진 것을 특징으로 하는 컴퓨터 시스템의 랜섬웨어 행위에 대한 선제적인 탐지 차단 방법.