ONTAP에서 랜섬웨어 공격이 실제인지 확인합니다
자율형 랜섬웨어 방지(ARP)는 보호되는 볼륨에서 비정상적인 활동을 감지하면 경고를 표시하고 의심스러운 파일 또는 엔트로피 급증에 대한 세부 정보를 보여줍니다. 사용자는 이러한 비정상적인 활동을 평가하여 정상적인 활동(오탐)인지 또는 악의적인 활동인지 판단해야 합니다.
ARP는 탐지 및 스냅샷 생성을 자동화하지만, 파일이나 이벤트가 실제로 악성인지 여부를 최종적으로 판단하려면 수동 조사가 필요합니다. ARP는 이벤트가 실제 랜섬웨어 공격인지 여부를 확실하게 판단할 수 없습니다. ARP는 의심스러운 활동을 표시하지만, 해당 이벤트가 실제 랜섬웨어인지 아니면 오탐(양성 활동)인지 여부는 직접 조사하고 확인해야 합니다.
다음 예시들을 통해 랜섬웨어 공격이 발생하고 있는지 여부를 판단할 수 있습니다.
|
|
모든 경고를 평가하고, 의심스러운 파일을 조사하며, 환경 내 잠재적인 보안 위협에 대한 적절한 대응 방안을 결정하는 것은 전적으로 귀하의 책임입니다. 아래 예시 조사 사례는 정보 제공 목적으로만 제공되며, 모든 경우를 포괄하는 것은 아닙니다. |
신고된 파일의 확장자를 살펴보세요. 랜섬웨어의 명백한 징후 중 하나는 파일 이름에 특이하거나 임의의 문자 조합이 추가된 경우입니다. 예를 들어, `document.docx`라는 파일이 `document.docx.wcry`로 바뀔 수 있습니다.
알려진 랜섬웨어 확장자에는 .wcry, .locked, .akira, .zcrypt, .phobos 등이 있습니다. 온라인이나 AI 도구를 사용하여 확장자를 검색하십시오.
확장자가 랜섬웨어와 관련이 없다면 해당 경고는 오탐일 가능성이 높습니다. 확장자가 랜섬웨어와 관련이 있다면 실제 공격일 가능성이 더 큽니다.
|
|
일부 랜섬웨어는 파일 확장자를 변경하지 않습니다. 특이한 확장자가 없다고 해서 랜섬웨어 공격 가능성이 배제되는 것은 아닙니다. |
ARP를 활성화한 후 몇 시간 또는 며칠 이내에 경고가 발생하면 오탐일 가능성이 높습니다. ARP 활성화 후 며칠 동안 경고가 발생하지 않다가 그 후에 경고가 나타나면 실제 공격일 가능성이 더 큽니다.
문제가 발생한 파일을 해당 파일과 연결된 애플리케이션으로 열어보세요.
파일이 열리고 내용이 정상적이라면 오탐일 가능성이 높습니다. 파일이 열리지 않거나 내용을 읽을 수 없는 경우 랜섬웨어에 의해 암호화되었을 수 있습니다.
|
|
의심스러운 파일을 여는 것은 위험을 수반합니다. 잠재적으로 손상된 파일에 접근할 때는 반드시 조직의 보안 프로토콜을 준수하십시오. |
감염된 디렉터리(예: README.txt 또는 DECRYPT_INSTRUCTIONS.html)에서 랜섬웨어 관련 메모를 확인하십시오.
시스템과 애플리케이션이 정상적으로 작동하고 있다면 해당 경고는 오탐일 가능성이 높습니다. 파일 시스템 활동(읽기, 쓰기, 삭제)이 갑자기 이유 없이 급증하는 경우 백그라운드에서 랜섬웨어 암호화 작업이 진행 중임을 나타내는 경우가 많습니다.