랜섬웨어 수정 워크플로
랜섬웨어 공격을 수정하려면 다음 단계를 따르십시오.
소개
경고
공격을 수정하면 공격이 어떻게 발생했는지에 대한 단서가 제거될 수 있습니다. 공격의 영향을 받는 나머지 시스템 및 파일을 백업하는 것이 좋습니다. 파일이 안전한지 확실하지 않은 경우, 압축하여 실행되지 않도록 할 수 있습니다.
추가 리소스
Microsoft Autoruns를 사용하여 감지되지 않는 맬웨어를 찾는 방법
흥미로운 Windows 이벤트 ID - 맬웨어/일반 조사
문제 범위 정의
문제의 범위를 이해하려면 다음과 같이 하십시오.
-
영향을 받는 모든 엔드포인트 및 서버를 파악합니다.
영향을 받는 장치의 폴더에 암호화된 파일과 랜섬 노트가 있습니다.
- 파일 공유에서 암호화된 파일과 랜섬 노트를 찾은 경우 이를 생성한 사용자 또는 장치를 확인해야 합니다.
- 나중에 식별할 수 있도록 암호화된 파일의 여러 샘플과 랜섬 노트를 액세스 가능한 위치에 저장해야 합니다.
-
어떤 계정이 손상되었는지 찾습니다.
어떤 계정이 손상되었는지 아는 경우, 사용자 계정의 권한으로 제한할 수 있으므로 랜섬웨어가 이 장치에서 영향을 미친 로컬 및 원격 파일의 최대 범위를 확인할 수 있습니다. 손상된 계정을 찾으려면 다음과 같이 하십시오.
- 암호화된 파일을 찾아 마우스 오른쪽 버튼으로 클릭한 다음 속성을 선택합니다.
- 자세히를 클릭하고 파일 소유자를 찾습니다.
- 파일의 소유자 정보를 기록해 둡니다.
-
또는 폴더를 사용하여 소유자 정보를 확인할 수 있습니다. 폴더를 사용하려면 다음과 같이 하십시오.
-
Windows 탐색기에서 암호화된 파일이 있는 폴더로 이동합니다.
여러 사용자가 액세스할 수 있는 네트워크 파일 공유를 선택하는 것이 좋습니다.
-
파일에 대한 다양한 정보 열을 제공하는 자세히 보기를 선택합니다.
- 열 머리글을 마우스 오른쪽 버튼으로 클릭한 다음 더 보기를 클릭합니다.
- 아래로 스크롤하여 목록에서 소유자를 선택한 다음 확인을 클릭합니다.
-
-
감염된 장치별로 손상된 계정이 다를 수 있습니다. 감염된 모든 장치에서 이 프로세스를 반복하고 손상된 계정 목록을 만들어야 합니다.
- 손상된 계정 중 관리 권한(로컬 및 도메인)을 갖는 계정이 있는지 확인합니다.
- 계정 목록이 있으면 해당 계정에 쓰기 액세스 권한이 있는 파일 공유를 확인합니다. 모든 공유를 확인해야 합니다.
맬웨어 영향 제한
이제 초기 데이터가 있으므로 조사를 수행해야 합니다. 먼저, 랜섬웨어가 더 이상 데이터를 암호화하는 것을 방지해야 합니다. 랜섬웨어를 중지하려면 다음과 같이 하십시오.
-
감염된 모든 장치를 끕니다.
장치를 끄는 것이 데이터를 저장할 수 있는 가장 좋은 기회입니다. 감염된 장치의 실행 시간이 길수록 랜섬웨어가 파일을 암호화하는 데 더 많은 시간이 걸립니다.
-
테스트하기 전에 랜섬웨어: 공격의 작동 방식을 사용해 랜섬웨어의 공격 방법을 파악하십시오. 추가 암호화로 인해 데이터가 손실될 수 있습니다.
- 일부 랜섬웨어는 장치를 시작할 때 실행됩니다. 감염된 장치를 이미징한 다음 감염된 장치를 시작하여 파일이 여전히 암호화되고 있는지 확인합니다.
-
감염된 장치를 확인할 수 없다면 어려운 선택을 해야 합니다. 이 단계에서 데이터를 저장하려면 모든 장치를 끄십시오.
그러면 진행 중인 암호화가 정지됩니다. 이제 조사를 계속할 수 있습니다.
-
조사할 장치를 하나씩 켭니다. 개별 장치를 정리하고 다음 장치에서 조사를 계속합니다.
당사에 연락하여 Managed Detection and Response 서비스를 구매하는 것이 좋습니다. 높은 수준의 교육을 받은 이 팀은 수정 작업을 지원할 수 있습니다. 또한 근본 원인 분석 및 지속적인 보안 조언을 제공할 수 있습니다.
랜섬웨어 제작자 확인
랜섬웨어의 제작자를 알게 되면 현재 일어나고 있는 정확한 영향에 대한 많은 정보를 얻을 수 있습니다. 암호화된 파일, 가장 가능성이 높은 감염 벡터(감염 유입 방식) 및 지속성 문제가 발생할 가능성이 있는지 여부를 밝히는 데 도움이 됩니다. 또한 재감염을 방지하는 데 도움이 됩니다. 감염된 장치의 랜섬 노트 또는 암호화된 파일의 샘플이 있으면 해당 맬웨어 그룹을 파악할 수 있습니다.
제작자를 확인하려면 다음과 같이 하십시오.
-
랜섬 노트 또는 샘플을 https://id-ransomware.malwarehunterteam.com/에 업로드합니다.
참고
Sophos에서 지원하는 사이트가 아닙니다.
보안 개선
보안을 개선하려면 다음과 같이 하십시오.
-
Sophos Central with Intercept X and EDR로 이전하지 않은 경우 마이그레이션해야 합니다.
이 제품은 당사의 최첨단 보안 제품으로, 위협에 대한 최상의 보호 기능을 제공합니다.
- 랜섬웨어로부터 보호하는 CryptoGuard가 포함되어 있습니다.
- 이것이 중요한 이유 또는 마이그레이션 방법에 대한 질문이 있는 경우 당사에 문의하십시오. 당사의 신속 대응 팀을 고용하여 마이그레이션 지원을 받을 수 있습니다.
-
위협 방지 정책 설정에 대한 모범 사례를 따르고 있는지 확인합니다. 사용자 환경이 최근에 손상되었기 때문에 이를 확인하는 것이 중요합니다. 재감염을 방지하려면 보안을 강화해야 합니다. 자세한 내용은 다음 링크에서 확인하십시오.
-
모든 장치에 최신 패치가 모두 적용되어 있는지 확인합니다.
Microsoft는 업데이트에서 여러 취약성을 수정하므로 최신 패치는 많은 익스플로잇을 방지합니다.
-
Windows Server 2003, Windows 2008 비R2, Windows 7 또는 Windows XP와 같은 이전 운영 체제 버전을 사용하는 모든 장치를 업그레이드합니다.
Microsoft에서 공식적으로 지원하지 않는 Windows 운영 체제에는 적용 가능한 패치가 없는 보안 취약성이 있습니다.
-
인터넷에 공개적으로 접속하는 취약한 장치가 없는지 확인합니다.
참고
SMB 445, RDP 3389 또는 기타 포트는 일반적으로 열려 있습니다. 악의적인 행위자는 이러한 포트를 악용할 수 있습니다.
장치를 확인해야 합니다. 어떤 포트가 열려 있는지 확인하고 위험을 줄여야 합니다. 장치를 확인하려면 다음과 같이 하십시오.
- 공용 IP에 Shodan.io 또는 Censys.io를 사용하여 해당 환경 외부에서 어떤 포트가 보이는지 확인할 수 있습니다.
- 불필요한 공용 장치나 열린 포트가 있는 경우 방화벽 정책을 변경하여 노출을 줄입니다.
데이터 및 정상 작동 복원
이제 모든 장치를 정리하고 Sophos Central Intercept X Advanced with EDR로 보호했으므로 다시 시작하고 실행할 준비가 되었습니다.
이렇게 하려면, 다음 과정을 수행하십시오.
-
백업에서 데이터를 복원합니다.
참고
근본 원인 분석을 수행하려면 감염된 장치의 백업 및 이미지가 필요합니다. 장치를 복원하면 이러한 단서가 삭제되고 근본 원인 분석이 불가능해집니다.
- 감염 전에 수행한 데이터 백업을 사용해야 합니다.
- 백업한 파일의 데이터에 액세스할 수 있는지 확인합니다.
-
장치를 다시 온라인 상태로 전환합니다.
- 운영 체제가 손상되었거나 감염된 장치의 백업이 충분하지 않은 경우 복구하거나 재구성해야 합니다.
- 운영 체제 제조업체에서 제공한 복구 및 재구성 프로세스를 따릅니다.
-
장치가 정상적으로 작동하는지 테스트합니다. 이렇게 하려면, 다음 과정을 수행하십시오.
- 필요한 리소스에 액세스할 수 있는지 확인합니다.
- 응용 프로그램이 올바르게 실행되고 있는지 확인합니다.
- 장치가 올바르게 작동하는지 확인하는 데 필요한 다른 테스트를 수행합니다.
-
사용자가 장치에 액세스할 수 있도록 허용합니다.
근본 원인 분석
앞으로 환경을 보호하려면 감염이 어떻게 발생했는지 알아야 합니다. 그래야 네트워크 또는 환경 설계 및 구성의 결함을 파악할 수 있으며 앞으로 이를 개선해 나갈 수 있습니다. 근본 원인 분석을 수행하면 이렇게 하는 데 도움이 됩니다.
근본 원인 분석을 수행하려면 감염된 상태의 장치 백업 및 이미지가 있어야 합니다.
랜섬웨어 수정 비디오
이 비디오에서는 이 워크플로에 대해 설명합니다.