[KB3433] 랜섬웨어로부터 보호하는 모범 사례

• 모범 사례를 사용하여 랜섬웨어 멀웨어로부터 시스템을 보호하도록 구성하려는 경우
• 일반적인 ESET 애플리케이션 랜섬웨어 방지 모범 사례
• 일반적인 랜섬웨어 방지 방법
• 암호화된 파일 복구하기

현재 버전의 ESET 응용 프로그램은 랜섬웨어로부터 컴퓨터를 보호하기 위해 여러 계층의 기술을 사용합니다.

이러한 기술의 예로는 고급 메모리 스캐너, ESET LiveGrid® 평판 시스템, 익스플로잇 블로커 등이 있습니다.

또한 최신 ESET 애플리케이션은 랜섬웨어와 명령 및 제어(C&C) 서버 간의 통신을 차단하는 향상된 봇넷 보호 모듈을 제공합니다.

일반적인 ESET 애플리케이션 랜섬웨어 방지 모범 사례

• PUA(잠재적으로 원치 않는 애플리케이션) 탐지 활성화

링크된 문서의 지침에 따라 원치 않는 안전하지 않은 의심스러운 애플리케이션 탐지(원격 모니터링 및 관리) 도구, 취약한 드라이버, 네트워크 스캐너 및 시스템에 보안 위험을 초래할 수 있는 기타 소프트웨어 등 #@#에 대한 탐지 기능을 사용하세요. 이러한 도구는 신뢰할 수 있고 서명되어 있으며 합법적인 시스템 유틸리티일 수도 있지만, 랜섬웨어 침입 시 공격자들이 널리 악용합니다. 잠재적으로 원치 않는 애플리케이션 및 잠재적으로 원치 않는 콘텐츠에 대한 자세한 정보.

• 고급 메모리 스캐너 및 익스플로잇 블로커 활성화 유지

  새롭게 설계된 ESET 알고리즘은 난독화 및/또는 암호화를 사용하여 안티멀웨어 제품의 탐지를 회피하도록 설계된 멀웨어에 대한 보호를 강화합니다.

  고급 메모리 스캐너는 멀웨어가 메모리에서 은닉된 후 의심스러운 동작을 찾고 Exploit Blocker는 표적 공격 및 이전에 보이지 않던 취약점(제로 데이 취약점이라고도 함)에 대한 보호를 강화합니다.

  최대한의 보호를 위해 ESET 애플리케이션을 최신 버전으로 업그레이드하는 것이 좋습니다:

  • 가정용 사용자 ESET 가정용 또는 소규모 오피스 제품(Windows)의 최신 버전 확인'
  • 비즈니스 사용자 ESET 비즈니스 제품의 최신 버전 확인(Windows)'
    
    

• ESET LiveGrid® 활성화 유지

  ESET 클라우드 멀웨어 보호 시스템은 ESET LiveGrid®를 기반으로 합니다. 이 시스템은 알려지지 않은 잠재적 악성 애플리케이션을 모니터링하고 샘플을 자동 샌드박싱 및 동작 분석에 적용합니다.

  ESET 제품에서 ESET LiveGrid® 평판 및 ESET LiveGrid® 피드백 시스템이 활성화되어 있고 작동 중인지 확인하십시오.

• ESET 업데이트 유지

  기존 랜섬웨어의 새로운 변종이 자주 출시되므로 바이러스 데이터베이스 업데이트를 정기적으로 받는 것이 중요합니다(유효한 제품 정보 사용 기간과 인터넷 연결이 작동하는 경우 ESET 애플리케이션이 매시간 업데이트를 확인합니다).

  • 가정 사용자: ESET Windows 가정용 또는 소규모 오피스 제품 업데이트'
  • 비즈니스 사용자 개별 클라이언트 워크스테이션에서 ESET 엔드포인트 제품 업데이트 - 최신 제품 모듈 확인
    
    

• 가상 머신 사용자

  랜섬웨어 멀웨어로부터 최상의 보호를 받으려면 가상 환경에서 Windows용 ESET 엔드포인트 보안을 사용하는 것이 좋습니다.

• Ransomware Shield가 활성화되어 있는지 확인

  랜섬웨어 쉴드는 자체 방어 기술의 일부로서 HIPS 기능의 일부로 작동하는 또 다른 보호 계층입니다. 자세한 내용은 ESET 용어집에서 랜섬웨어 쉴드 및 ESET 애플리케이션에서 구성하는 방법을 참조하세요.

• ESET 비즈니스 제품에서 랜섬웨어로부터 보호하기 위한 추가 설정을 수동으로 구성하거나 ESET PROTECT 온프레미스/ESET PROTECT 정책을 사용하여 구성합니다

  • ESET 비즈니스 제품에 대한 HIPS 규칙 구성
  • ESET 엔드포인트 보안에 대한 방화벽 규칙 구성
  • Microsoft Exchange Server용 ESET 메일 보안 구성
    
    

• 알림

  • 탐지된 위협에 대한 ESET LiveGuard 고급 알림

암호화 기반 맬웨어(랜섬웨어)로 인한 위험 최소화

• 시스템 백업 유지

  시스템을 정기적으로 백업하고 오프라인 저장소에 하나 이상의 백업을 보관하여 가장 최근 작업을 공격으로부터 보호하세요.

• 사용자 권한 및 권한 제한

  애플리케이션 데이터에 대한 액세스 제한과 같이 다양한 유형의 제한이 있으며, 일부 제한은 그룹 정책 개체(GPO)로 미리 빌드되어 있습니다.

  • AppData 및 LocalAppData 폴더에서 실행 중인 파일을 비활성화합니다.
  • Temp 하위 디렉터리(기본적으로 AppData 트리의 일부)에서 실행을 차단합니다.
  • 다양한 압축 해제 유틸리티의 작업 디렉터리에서 실행되는 실행 파일을 차단합니다(예: WinZip 또는 7-Zip).
  • 또한 Windows용 ESET Endpoint Security, Microsoft Exchange Server용 ESET 메일 보안 및 Microsoft Windows Server용 ESET 서버 보안에서는 컴퓨터에서 특정 응용프로그램만 실행하도록 허용하고 다른 모든 응용프로그램은 기본적으로 차단하도록 HIPS 규칙을 만들 수 있습니다: HIPS 규칙을 생성하고 ESET PROTECT On-Prem을 사용하여 클라이언트 워크스테이션에 적용.
    
    

• UAC(사용자 계정 컨트롤)를 비활성화하지 마세요

  팩스, 송장 또는 영수증이라고 주장하는 첨부 파일에 의심스러운 이름이 있거나 수신할 것으로 예상하지 않은 경우 열지 마십시오.

  멀웨어 공격의 위험을 최소화하세요.'

• 2단계 인증(2FA) 사용

  클라우드 또는 온프레미스 구성 요소로 사용할 수 있는 ESET 보안 인증을 권장합니다. 자세한 내용은 ESET 온라인 도움말을 참조하세요.

• 위협 방어

  ESET LiveGuard Advanced를 권장합니다.

• 그룹 정책을 통해 Microsoft Office에서 매크로(VBA) 사용 안 함

  Microsoft Office 2019 및 이전 버전: Office용 VBA 매크로에 대한 보안 설정 계획하기

  Microsoft Office 365는 OCPS(Office 클라우드 정책 서비스)를 사용하여 인터넷에서 Office 파일에서 매크로 실행을 차단하는 정책을 적용합니다.

• 시스템을 최신 상태로 유지

  최상의 보호 기능을 사용하려면 운영 체제와 응용 프로그램을 최신 상태로 유지하세요. Windows 업데이트 도구에서 제공하는 우선 순위가 높은 최신 업데이트를 설치하고 정기적으로 확인하거나 자동 업데이트 기능을 사용하도록 설정하세요. 새로운 보안 업데이트는 시스템 취약점을 패치하고 맬웨어 공격의 위험을 줄여줍니다.

• 열어 두면 악용될 수 있는 잠재적 포트/서비스

  알 수 없는 IP 주소가 무차별 암호 대입 공격을 성공적으로 수행하는 것을 방지하려면 SMB, SQL 및 RDP를 잠그는 것이 좋습니다.

  서비스	권장 사항
  SMB	파일 공유 포트 135-139 및 445를 닫습니다. SMB 포트는 인터넷에 노출되지 않아야 합니다.
  SQL	SQL에 연결할 수 있는 신뢰할 수 있는 IP 주소를 화이트리스트에 추가합니다.
  RDP	외부 연결에 대한 RDP를 차단하여 외부 RDP 무차별 대입 공격을 차단하세요. 2단계 인증이 포함된 VPN을 사용하여 내부 네트워크에 연결하세요.
  	지정된 횟수만큼 실패하면 자동으로 계정을 잠그고 잠금 해제 전 대기 기간을 설정하세요.
  	강력한 비밀번호를 적용합니다.
  	사용하지 않는 계정 또는 기본 계정(관리자, 관리자, 루트)을 비활성화합니다.
  	RDP 로그인을 위해 특정 사용자 및 그룹을 화이트리스트에 추가합니다.
  	특정 IP 주소를 허용 목록에 추가하여 RDP 연결을 활성화합니다.

• 공격에 대한 원격 데스크톱 프로토콜 모범 사례

  암호화 기반 멀웨어는 Windows에 내장된 원격 데스크톱 프로토콜(RDP)을 통해 대상 시스템에 액세스하는 경우가 많습니다. RDP를 사용하면 다른 사람이 원격으로 시스템에 연결할 수 있으므로 공격자는 RDP를 악용하여 보호 기능을 제거한 다음 멀웨어를 배포할 수 있습니다.

  원격 데스크톱 프로토콜을 비활성화하거나 변경하는 것이 좋습니다. RDP 사용이 필요하지 않은 경우 기본 포트(3389)를 변경하거나 RDP를 비활성화하여 랜섬웨어 및 기타 RDP 악용으로부터 컴퓨터를 보호할 수 있습니다. RDP를 비활성화하는 방법에 대한 지침은 아래의 해당 Microsoft 기술 자료 문서를 참조하세요:

  • Windows 11
  • Windows 10
  
  

  RDP에 대한 자세한 내용은 다음 WeLiveSecurity 문서를 참조하세요: RDP 및 원격 액세스 보안.

• ESET 애플리케이션 설정을 암호로 보호

  비즈니스 사용자의 경우 공격자의 무단 변경으로부터 ESET 애플리케이션을 보호하기 위해 암호를 사용하는 것이 좋습니다. 이렇게 하면 인증되지 않은 설정 수정, 보호 기능 비활성화 또는 ESET 제품 제거를 방지할 수 있습니다. RDP를 사용하는 경우 RDP 로그인 자격 증명에 사용되는 암호와 다른 암호를 사용하는 것이 좋습니다.

  자세한 내용은 비밀번호로 ESET 애플리케이션을 보호하는 방법을 참조하세요.

암호화된 파일을 복구할 수 있나요?

최신 랜섬웨어는 비대칭 암호화와 여러 암호화 알고리즘을 사용하여 데이터를 암호화합니다. 즉, 파일은 공개 키로 암호화되며 연결된 개인 키 없이는 암호를 해독할 수 없습니다. 현재 랜섬웨어의 경우, 개인 키는 영향을 받는 워크스테이션이나 환경에 존재하지 않습니다. 즉, 감염되기 전에 만든 정상 백업에서 데이터를 복원해야 합니다.

백업이 없는 경우 섀도 복사본에서 파일 복구를 시도할 수 있습니다. 섀도 탐색기를 다운로드합니다.

그러나 랜섬웨어에 감염된 경우 섀도 복사본을 삭제하여 파일 복구를 막는 경우가 종종 있습니다.

랜섬웨어에 감염된 경우 어떤 조치를 취해야 하나요?

1. 네트워크에서 컴퓨터 연결을 끊습니다.

2. 암호화된 공유 폴더/드라이브의 '암호 해독 방법'과 같은 지불 지침이 포함된 TXT 또는 HTML 파일을 찾습니다. 멀웨어 연구원이 추가 분석에 사용할 수 있습니다.

3. 지원을 위해 현지 ESET 파트너에게 문의하세요.