안랩 EPP

구독
다운로드 357
업데이트 2025. 12. 2.

랜섬웨어 탐지

안랩 EPP V3 악성코드 경고 로그에서 랜섬웨어 파일을 탐지합니다.

쿼리

안랩 V3 안티바이러스 엔진은 랜섬웨어를 Ransomware/Win.Gunra.C5761824, Ransomware/Win.Hades.R374581, Trojan/Win32.ClopRansom.R356895, Ransomware/Win.BlackByte.R455522, Malware/Win32.Ransom.C4006138, Win-Trojan/Gandcrab.Exp 등으로 탐지하므로, signatureRansomware/ 로 시작하거나, .Ransom. 또는 Gandcrab 문자열이 포함된 경고를 추출합니다.

| search in(signature, "Ransomware/*", "*.Ransom.*", "*Gandcrab*")

메시지

  • 안랩 EPP V3 랜섬웨어 탐지: 호스트 $host_ip, 악성코드 $signature

출력 필드 순서

  • _log_time, hostname, host_ip, emp_name, dept_name, signature, file_path, file_status, md5

위협 분석

  • 랜섬웨어는 시스템 파일을 암호화하고 복호화 대가로 금전을 요구하는 악성코드로, 단일 단말 감염이 조직 전체로 확산될 경우 심각한 업무 중단과 데이터 손실을 초래할 수 있습니다.
  • 파일 유입 시점에 V3가 랜섬웨어를 바로 탐지했을 가능성이 높으나 해당 단말에서 암호화 시도, 악성 페이로드 실행, 전파 활동 등이 이미 진행되었을 가능성도 일부 존재합니다.
  • 만약 랜섬웨어의 파일 암호화가 발견되었다면 추가 모듈 설치, 백업 삭제, 파일 암호화 등 공격을 지속하므로 즉각적인 격리와 조치가 필요합니다.

오탐 유형

  • 보안팀이 랜섬웨어 대응 모의훈련(시뮬레이션) 또는 악성코드 분석 테스트를 수행할 때 정상 파일이 탐지될 수 있습니다.

대응 방안

  • 해당 단말을 즉시 네트워크에서 격리하고, 암호화 진행 여부 및 비정상 파일 변조를 확인합니다.
  • 프로세스 목록, 작업 스케줄러, 서비스 생성 이력 등을 점검해 랜섬웨어 프로세스 또는 관련 활동을 식별합니다.
  • 동일 사용자 계정, 동일 네트워크 구간에서 추가 감염 단말이 있는지 확인하고, 필요 시 전체 네트워크 범위를 대상으로 확산 여부를 조사합니다.
  • 백업을 점검하고 복구 계획을 실행하며, 감염 경로(취약점, 스피어피싱, 원격 접속 등)를 분석해 재발 방지 조치를 수행합니다.

MITRE ATT&CK