트렌드마이크로 오피스스캔에서는 랜섬웨어에 대한 대응 기능을 제공하고 있습니다. 랜섬웨어에 위협에 대비하여 행동유형의 규칙성을 파악하였으며, 이러한 랜섬웨어의 행동 유형이 포착되었을 때 백신 프로그램에서 동작하는 행위기반 모니터링 기술로 랜섬웨어의 실행을 강제 종료하는 기능을 구현합니다.

랜섬웨어에 의한 문서 암호화 방지 기능

오피스스캔에서는 새로운 서비스를 추가하거나 Hosts파일을 수정하는 등의 악성코드의 전형적인 행동방식이 포착되었을 때에 이를 탐지하고 차단하는 “동작모니터링”기능이 제공되고 있습니다. 이러한 동작모니터링 기능은 시그니쳐 패턴에 포함되지 않은 악성코드의 행위도 탐지하여 예방할 수 있습니다.

오피스스캔 관리콘솔에서 [에이전트] => [에이전트 관리]=> [설정]=> [동작 모니터링 설정] 에서 [랜섬웨어 행위 차단]에 해당하는 두 가지 항목을 활성화한 후 [모든 에이전트에 적용]을 클릭하여 이 기능을 사용할 수 있습니다.

[오피스스캔 v11 SP1의 동작모니터링 설정]

• 문서 암호화 방지 기능(ADC-Access Document Control)을 활성화
• 문서를 편집하려 하는 어플리케이션의 경로와 디지털 서명 등을 확인하여 애플리케이션 신뢰성 확인
• 파일의 변경 및 삭제 행위 임계치 분석 (예: 10초간 3회 이상 변경 및 삭제를 진행하는 경우)
• 랜섬웨어 의심행위가 탐지되는 경우 오피스스캔 에이전트가 문서암호화 방지기능(ADC)이 악성 행위 중지

랜섬웨어 프로세스 실행 방지

랜섬웨어의 숙주파일이 실행되었을 때 특정 폴더 경로들에 특정 명칭의 프로세스를 생성하고 실행하는 몇 가지 행위가 있는데, 이를 탐지하고, 해당 프로세스의 생성을 거부하는 “SRP(Software Restriction Policy)”기능 또한 오피스스캔의 동작모니터링에 포함되었습니다.

[오피스스캔 v11 SP1의 랜섬웨어 행위 차단 설정]

[오피스스캔의 랜섬웨어 행위 차단에 의해 차단된 사례]

• 우수한 악성코드 방어력
• 랜섬웨어 예방
• 가상 데스크탑 환경(VDI) 최적화
• 중앙 집중식 가시성과 제어 기능
• 확장형 아키텍쳐
• 세계적으로 인정받은 트렌드마이크로의 엔드포인트 보안