• Journal of information and communication convergence engineering
• /
• 제20권4호
• /
• pp.280-287
• /
• 2022

Recently, the number of mobile ransomware types has increased. Moreover, the number of cases of damage caused by mobile ransomware is increasing. Representative damage cases include encrypting files on the victim's smart device or making them unusable, causing financial losses to the victim. This study classifies ransomware apps by analyzing several representative ransomware apps to identify trends in the malicious behavior of ransomware. We present a technique for recovering from the damage, from a digital forensic perspective, using reverse engineering ransomware apps to analyze vulnerabilities in malicious functions applied with various cryptographic technologies. Our study found that ransomware applications are largely divided into three types: locker, crypto, and hybrid. In addition, we presented a method for recovering the damage caused by each type of ransomware app using an actual case. This study is expected to help minimize the damage caused by ransomware apps and respond to new ransomware apps.

• 디지털산업정보학회논문지
• /
• 제13권1호
• /
• pp.103-111
• /
• 2017

Recently, new variants of Ransomware are becoming a new security issue. Ransomware continues to evolve to avoid network of security solutions and extort users' information to demand Bitcoin using social engineering technique. Ransomware is damaging to users not only in Korea but also in all around the world. In this thesis, it will present research solution to prevent and cope from damage by new variants Ransomware, by studying on the types and damage cases of Ransomware that cause social problems. Ransomware which introduced in this paper, is the most issued malicious code in 2016, so it will evolve to a new and more powerful Ransomware which security officers cannot predict to gain profit. In this thesis, it proposes 4 methods to prevent the damage from the new variants of Ransomware to minimize the damage and infection from Ransomware. Most importantly, if user infected from Ransomware, it is very hard to recover. Thus, it is important that users understand the basic security rules and effort to prevent them from infection.

• 스마트미디어저널
• /
• 제8권1호
• /
• pp.27-34
• /
• 2019

악성 코드의 일종인 랜섬웨어는 공격 방법이 다양해지고 복잡해지고 있다. 기존 랜섬웨어가 이메일 또는 특정 사이트를 통해 유포 및 감염시키는 것과 달리 WannaCryptor 같은 신종 랜섬웨어는 PC가 인터넷에 연결만 되어 있어도 데이터를 손상시킬 수 있다. 전 세계적으로 랜섬웨어 피해는 시시각각 발생하고 있고 이에 랜섬웨어를 탐지하고 차단하려는 많은 연구가 진행되고 있다. 기존 랜섬웨어 탐지 관련 연구는 프로세스의 특정 행위를 감시하거나 시그니처 데이터베이스를 활용하여 탐지하기 때문에 기존 랜섬웨어와 다른 동작을 보이는 신종 랜섬웨어가 실행되는 경우에는 탐지하고 차단하는 것이 어려울 수 있다. 따라서 본 논문에서는 기존의 랜섬웨어가 파일시스템에서 파일에 접근하고 동작하는 방식을 분석하여 미끼 파일을 배치하여 랜섬웨어를 탐지하는 방법을 제안한다. 또한, 제안하는 방법으로 랜섬웨어를 탐지하고 차단하는 실험을 진행한다.

• 정보보호학회논문지
• /
• 제27권2호
• /
• pp.251-258
• /
• 2017

랜섬웨어를 비롯한 대부분의 악성코드들은 Windows 운영체제를 대상으로 제작된다. 점유율이 높은 운영체제를 목표로 삼아야 그만큼 피해가 더 커지기 때문이다. 하지만 최근 몇 년 전부터 MacOS의 운영체제의 점유율이 꾸준히 증가하고 있다. 사람들에게 점점 많이 사용되기 시작하면서 MacOS운영체제에서 동작하는 악성코드의 수도 점점 늘어나고 있는 상황이다. 랜섬웨어는 2015년부터 우리나라에 많이 알려지기 시작했으며 점차 피해사례도 증가하고 있다. 2016년 3월에 MacOS용 랜섬웨어가 발견되는 등 더 이상 MacOS도 랜섬웨어로부터 자유롭지 않은 상황이다. 앞으로 계속 발생 할 랜섬웨어에 대처하기 위해서 본 논문은 랜섬웨어를 탐지하기 위한 방법으로 랜섬웨어가 암호화 한 파일의 확장자를 변경하는 것을 이용하였다. 사용자에 의해 확장자가 변경되는 것과 랜섬웨어 프로세스에 의해 확장자가 변경되는 것을 구분함으로써 랜섬웨어 프로세스를 탐지하고 차단하는 방법을 연구했다.

• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제14권5호
• /
• pp.2236-2257
• /
• 2020

Ransomware is malicious software that encrypts the user-related files and data and holds them to ransom. Such attacks have become one of the serious threats to cyberspace. The avoidance techniques that ransomware employs such as obfuscation and/or packing makes it difficult to analyze such programs statically. Although many ransomware detection studies have been conducted, they are limited to a small portion of the attack's characteristics. To this end, this paper proposed a framework for the behavioral-based dynamic analysis of high survivable ransomware (HSR) with integrated valuable feature sets. Term Frequency-Inverse document frequency (TF-IDF) was employed to select the most useful features from the analyzed samples. Support Vector Machine (SVM) and Artificial Neural Network (ANN) were utilized to develop and implement a machine learning-based detection model able to recognize certain behavioral traits of high survivable ransomware attacks. Experimental evaluation indicates that the proposed framework achieved an area under the ROC curve of 0.987 and a few false positive rates 0.007. The experimental results indicate that the proposed framework can detect high survivable ransomware in the early stage accurately.

• 한국전자통신학회논문지
• /
• 제13권2호
• /
• pp.449-456
• /
• 2018

암호화폐의 등장은 해커에게 실제 금전적 이득을 취득할 수 있는 수단이 되었고, 이에 따라 최근 랜섬웨어가 급증하며 관련 피해가 크게 늘어나고 있다. 악성코드가 암호화폐를 만나 새로운 영역으로 확장되고 있으며, 앞으로 랜섬웨어가 더욱 증가할 것으로 예측된다. 이러한 문제들을 해결하기 위해 랜섬웨어의 침입 경로를 분석하여 랜섬웨어의 침입을 탐지하고 차단할 수 있는 모델이 필요하다. 본 논문에서는 최근 랜섬웨어들의 자료를 수집하여, 이를 토대로 랜섬웨어의 칼라 페트리 네트 모델을 작성하고, 분석하고자 한다.

• 융합정보논문지
• /
• 제11권6호
• /
• pp.24-32
• /
• 2021

최근 랜섬웨어(ransomware) 공격은 이메일, 피싱(phishing), 디바이스(Device) 해킹 등 다양한 경로를 통해 감염되어 피해 규모가 급증하는 추세이다. 그러나 기존 알려진 악성코드(정적/동적) 분석 엔진은 APT(Aadvanced Persistent Threat)공격처럼 발전된 신종 랜섬웨어에 대한 탐지/차단이 매우 어렵다. 본 연구는 그래프 데이터베이스를 기반으로 랜섬웨어 악성 행위를 모델링(Modeling)하고 랜섬웨어에 대한 새로운 다중 복합 악성 행위를 탐지하는 방법을 제안한다. 연구 결과 기존 관계형 데이터베이스와 다른 새로운 그래프 데이터 베이스 환경에서 랜섬웨어의 패턴 탐지가 가능함을 확인하였다. 또한, 그래프 이론의 연관 관계 분석 기법이 랜섬웨어 분석 성능에 크게 효율적임을 증명하였다.

• 융합정보논문지
• /
• 제8권1호
• /
• pp.139-145
• /
• 2018

랜섬웨어란 악성코드의 일종이다. 랜섬웨어에 감염된 컴퓨터는 시스템 접근이 제한된다. 이를 해제하기 위해서는 악성 코드 제작자에게 대가를 제공해야 한다. 최근 최대 규모의 랜섬웨어 공격이 발생함에 따라 인터넷 보안 환경에 대한 우려가 점점 커지고 있다. 랜섬웨어에 대한 종류와 사이버테러 피해를 막기 위한 대응 방안을 알아본다. 강력한 감염성을 가지며 최근에도 끊임없이 공격해오는 랜섬웨어는 대표적으로 Locky, Petya, Cerber, Samam, Jigsaw가 있고, 점점 공격패턴이 진화중이며 요구 결제 금액 또한 증가하고 있다. 현재로써 랜섬웨어 방어는 100% 특효약이 있는 것이 아니다. 하지만 자동업데이트, 백신설치, 주기적 백업을 통해 랜섬웨어에 대응 할 수 있다. 본 연구에서는 네트워크와 시스템에 도달하지 못하도록 다층적인 접근 방법을 제시하여, 기업과 개인 사용자들의 랜섬웨어 예방 방법을 제시하였다.

• 융합보안논문지
• /
• 제23권1호
• /
• pp.69-77
• /
• 2023

최근 아일랜드 보건당국, 미(美) 송유관 등 전(全) 세계적으로 랜섬웨어 피해가 급증하고 있으며, 사회 모든 분야에 피해를 입히고 있다. 특히, 랜섬웨어 탐지 및 대응에 기존의 탐지방법뿐 아니라 머신러닝 등을 이용한 연구가 늘어 나고 있다. 하지만, 전통적인 머신러닝은 모델이 데이터가 많은 쪽으로 예측하는 경향이 강해 정확한 예측값을 추출하기 어려운 문제점이 있다. 이에 다수(Majority)의 Non-Ransomware(정상코드 또는 멀웨어)와 소수의(Minority) Ransomware로 구성된 불균형(Imbalance) 클래스에서 샘플링 기법을 통해 불균형을 해소하고 랜섬웨어탐지 성능을 향상시키는 기법을 제안하였다. 본 실험에서는 두가지 시나리오(Binary, Multi Classification)을 사용하여 샘플링 기법이 다수 클래스의 탐지 성능을 유지하면서 소수 클래스의 탐지 성능을 개선함을 확인하였다. 특히, 제안된 혼합샘플링 기법(SMOTE+ENN)이 10% 이상의 성능(G-mean, F1-score) 향상을 도출했다.

• 정보보호학회논문지
• /
• 제28권2호
• /
• pp.339-346
• /
• 2018

랜섬웨어는 데이터를 암호화하여 금전을 요구하는 악성프로그램이다. 전 세계적으로 랜섬웨어에 대한 피해가 증가하고 있으며 기업, 공공기관, 병원을 대상으로 하는 타깃형 공격이 늘어나고 있다. 또한 랜섬웨어가 서비스화 되어 유포되기 때문에 하나의 랜섬웨어가 발견되면 이후에 해당 랜섬웨어와 유사한 변종이 많이 발견된다. 이에 따라 랜섬웨어에 대한 정확한 분석이 해당 랜섬웨어뿐만 아니라 변종 랜섬웨어 복호화 방안 모색에 기반이 될 수 있다. 본 논문에서는 2017년 6월에 발견된 Erebus 랜섬웨어에 대해 암호학적 요소와 암호화 과정을 분석하였으며, 해당 결과를 기반으로 암호학적 취약점 및 메모리 분석 연구를 진행하였다.