1. 개요[편집]
인크립트 랜섬웨어상호협력체가 제작한 무료 안티 랜섬웨어 프로그램이다. 개인 및 상업용 상관없이 소스코드를 제외한 프로그램 사용은 모두 무료다. 디자인이 깔끔하며 프로그램이 가벼워 앱체크와 함께 보조백신으로 사용하기에 알맞다.
현재는 아르젠코퍼레이션에 인수됨에 따라 INCRYPT AR로 리뉴얼되었다.
현재는 아르젠코퍼레이션에 인수됨에 따라 INCRYPT AR로 리뉴얼되었다.
랜섬웨어 걱정없이 더 나은 Experience를 위해.지금껏 각종 랜섬웨어로부터 손상되었던 파일들, 이제 우리 더 이상 당하고 있지만 말아요이제껏 만나지 못한 심플 그 자체의 강력한 안티 랜섬웨어 솔루션이
곧 당신의 곁으로 찾아올거에요. 그럼 지금 시작해 볼까요?
자체 개발한 MD5 대조기반 엔진인 Aurora(오로라) 엔진을 사용하여 파일이 다운로드 되거나 생성될때 1초도 안되는 시간내에 파일이 실행되기 전 차단하고 삭제한다.
다만 이런 MD5 대조기반 엔진에는 장점이 있는데 바로 낮은 오탐지율이다. 행위 기반 탐지 엔진에 경우 종종 사용자가 파일을 수정할때 오탐지를 일으키거나 문제가 많지만 INCRYPT의 엔진의 경우 데이터베이스에 저장된 랜섬웨어 해시값만 확인하므로 오탐지율이 상당히 낮다.
간혹 사용중인 프로그램이나 백신에 의해 액세스가 거부되며 실시간 감시 및 보호 기능이 튕겨버리는 경우가 있다. 이는 INCRYPT가 안티-바이러스 권한이 아닌 일반 권한으로 실행되고 있기 때문이며 보통 실시간 보호 기능을 다시 실행해주면 해결된다.
데이터베이스 DB 업데이트에 경우 하루에 한번씩 이루어지고 있으며 당연한 소리지만 네트워크 기반으로 프로그램을 지속적으로 설치할 필요가 없다.
랜섬웨어 탐지 유튜브 영상이 있다. 다만 이 경우 초기버전의 프로그램이며 현재는 더욱 개선되었다.
0.1.0.1.3 버전 기준 4개의 백신사에서 INCRYPT 를 멀웨어로 탐지하는데, 이는 오진이다. 설치할 때 백신을 꺼놓고 설치하는게 좋다.#
'바이러스 제로 : 시큐리티 커뮤니티' 에서는 INCRYPT 제품의 최신 업데이트 소식을 바로 전해들을 수 있다.
2022년 3월 6일 KST 12:02 기준으로 INCRYPT+가 출시되었다. 기존의 플랫폼을 완전히 뒤집어 엎은 모습이며 영어 버전의 지원이 중단되었다.
2022년 8월 27일, INCRYPT Lyxen(릭센)이 출시되었다. 코드네임은 각각 1.0은 훈민정흠, 2.0은 세종대왕이며 신 엔진인 AcroVista를 사용한다.
2022년 09월 10일, 나무위키 유저 "qkqhqk9999"의 나무위키 규칙위반(공신력이 있는 단체만 기재 가능)으로 인해 문서 삭제 토론에서 다툼을 빚어 결국 나무위키 문서를 삭제이전 조치하고 알파위키로 문서를 이전하였다.
2. 상세[편집]
▲ INCRYPT Lyxen Anti-Ransomware 메인 화면 |
- 실시간 보호
기본적으로 다른 안티 바이러스에도 있는 기능. 이 기능을 끄면 기본적으로 아래 몇 기능이 비활성화 된다.
버전 0.1.0.1.2 부터 반디집, 7Z, WinRAR, 알집을 사용하는 경우 압축파일에서 바로 랜섬웨어를 실행하면 랜섬웨어를 차단 및 삭제하고 압축프로그램까지 강제종료 시켜버린다.
- 랜섬웨어 사전 방어
자체개발 엔진을 사용하여 파일이 다운로드 되거나 생성되는 즉시 1~2초내에 파일을 자동으로 영구 삭제한다.이로 인해 다른 안티 랜섬웨어보다 더욱 빠른 사전 대응이 가능하나 이것으로 인해 CPU 점유율이 높다.v0.1.0.1.3 버전으로 업데이트되면서, CPU 점유율을 많이 잡아먹지 않는다. (정식버전이 출시되며 CPU 점유율이 1% 이하로 대폭 줄어들었다.)
- 행위 기반 탐지
일부 다운로드 파일에 경우 바로 삭제하지 않고 파일이 실행되었을때 행위를 탐지하고 만약 랜섬웨어로 확인되면 파일을 차단하고 삭제하는 기능이다. 기본적으로 실시간 감지에 기본적으로 탑재되어 있으며 별도로 해제하거나 활성화할 수 없다.
- 랜섬웨어 차단 후 자동 치료
랜섬웨어를 탐지하고 차단한 뒤 바로 영구 삭제 해버린다. 이 점으로 인해 다른 안티랜섬웨어 처럼 검역소에서 복구가 불가능한 단점이 있다. 다만 이에 경우 실시간 감지 기능을 끄고 파일을 다시 불러오면 된다.
- LOG4J 및 원격 랜섬웨어 공격 방어
대규모 피해를 입힌 취약점 공격이었던 LOG4J를 이용한 랜섬웨어 감염과 원격 랜섬웨어 공격을 사전에 방지하기 위해 특정 네트워크 포트를 감시하고 랜섬웨어 공격이 확인되면 차단한다. 의외로 다른 안티 랜섬웨어 프로그램에 없는 기능이다.
- 네트워크 기반 업데이트
당연한 소리지만 안티 바이러스 소프트웨어 답게 네트워크 기반 랜섬웨어 DB 업데이트를 지원한다. 이를 통해 더욱 정교한 랜섬웨어 탐지가 가능하다. v1.0.0.0(정식버전) 이후로 자동 업데이트 기능을 지원하며 구버전 데이터베이스일시에 사용자에게 UI로 알려준다.
-- * 한국어 버전과 영어 버전 지원
-- * 파일 Shredder 기능
파일 영구 삭제 기능으로 파일이 복구되어도 파일을 열 수 없게 암호화 시킨 후 영구 삭젲 시켜버린다. 이로 인해 해커가 파일을 복구하더라도 파일을 열람하는데 어려움이 생긴다.-- Lyxen 세종대왕 출시 후 삭제
- 랜섬웨어 대피소 기능
INCRYPT+ 공간 내 별도의 폴더를 생성해 이곳에 파일을 저장해두면 랜섬웨어의 영향을 받지 않는다.
3. 엔진 역사[편집]
* 0세대 | Aura(아우라) : 인크립트 안티랜섬웨어 베타버전(v0.0.0.1~v0.9)에서 사용되었다. CPU 점유율을 혼자 30% 가까이 잡아먹었으며 틈만 나면 프로그램이 튕겼다.
* 1세대 | Aurora(오로라) : 인크립트+ 안티랜섬웨어 전 버전(v1.0.0.0~v1.1.1.6)에서 사용되었다. CPU 점유율이 30%에서 0.5미만으로 대폭 하향되었으며 전작에 비해 기능 개선이 매우 많았다. 파일 보호 기능과 행위기반 탐지 기능도 이때 생겼다.
* 2세대 | AcroVista(아크로비스타) : 인크립트 Lyxen(릭센)에 탑재되었다. 자세한 성능 업그레이드는 공식적으로 알려지지 않았다.
* 1세대 | Aurora(오로라) : 인크립트+ 안티랜섬웨어 전 버전(v1.0.0.0~v1.1.1.6)에서 사용되었다. CPU 점유율이 30%에서 0.5미만으로 대폭 하향되었으며 전작에 비해 기능 개선이 매우 많았다. 파일 보호 기능과 행위기반 탐지 기능도 이때 생겼다.
* 2세대 | AcroVista(아크로비스타) : 인크립트 Lyxen(릭센)에 탑재되었다. 자세한 성능 업그레이드는 공식적으로 알려지지 않았다.
4. 여담[편집]
AuraEngine의 실시간 감지 엔진 부분 예제 C# 소스코드를 웹사이트에서 다운받을수 있다. 다만 제한적-라이센스라 출처를 무조건 밝혀야 하며 상업적 용도로 사용할 수 없다.(소스코드는 AuraEngine의 극 일부에 불과하다고 한다)
OpenDB 포털을 통해 사용자가 직접 MD5 해시를 업데이트 할 수 있다. (다만 검열 대상이므로 자세한 정보를 확인한 후 업데이트 한다.)
웹사이트는 현재까지 모바일 뷰어를 지원하지 않아 화면이 이상하게 보인다. PC에서 접속하는것을 권장한다.
자체 보호 기능이 있지만 사용자가 얻을 수 있는 관리자 권한을 얻기 때문에 백신에서 먼저 랜섬웨어 파일을 차단한 경우 튕겨 버린다.
개인 및 상업용 목적 모두 무료 라이센스로 소프트웨어를 배포하고 있다. 다만 이에 대한 소스코드는 열람이 불가하며 오픈 라이센스가 아니다.
프로그램을 설치할때 사용자 지정 경로로 프로그램을 설치하면 제대로 작동하지 않는 경향이 있다. 이 경우 파일의 경로를 불러오지 못하는것으로 보인다.
INCRYPT가 처음 알려진 것은 바이러스 제로 : 시큐리티 커뮤니티의 https://cafe.naver.com/malzero/177101 게시글이다.