earticle

영어

Ransomware is a malicious software that demands money after making a system unusable or blocking the user's access by encrypting data. The scale of damage caused by ransomware is increasing over time, and its types are also becoming more diverse as the years go by. Various defense techniques have been studied so far, and more extensive research on them is required. In this paper, we propose a new method for ransomware detection and defense by combining window event log analysis with the previous Honeypot-based technique. In addition, we propose a method to shorten the time for detection and termination of ransomware by using the patterns on the order of files accessed by ransomware to proceed with encryption. The experimental results with various ransomware samples demonstrate that the proposed method can detect and terminate ransomware.

한국어

랜섬웨어는 시스템을 사용 불가능한 상태로 만들거나 데이터를 암호화하여 접근 불가능한 상태로 만든 후 금전을 요 구하는 악성 소프트웨어이다. 랜섬웨어로 인한 피해 규모는 시간이 지날수록 커지고 있으며, 그 종류 또한 해가 갈 수록 더욱 다양해지고 있다. 그에 따라 현재까지 다양한 방어기법이 연구되었으며 이후로도 더욱 다양한 방어기법의 연구가 요구되고 있다. 본 논문에서는 기존의 허니팟 기반 방법에 윈도우 이벤트 로그 분석을 결합하여 랜섬웨어의 활동을 신속히 식별하고 차단하는 방법을 제안한다. 또한, 랜섬웨어마다 암호화를 진행하기 위해 접근하는 파일의 순서에 대한 패턴들이 있다는 점을 활용해, 랜섬웨어의 탐지 및 종료 시간을 단축시키는 방법을 제안한다. 다양한 랜섬웨어 샘플에 대해 실험을 진행한 결과, 제안한 기법이 랜섬웨어를 신속하게 탐지하고 종료시킬 수 있음을 확인 하였다.