CN107506645A - 一种勒索病毒的检测方法和装置 - Google Patents
一种勒索病毒的检测方法和装置 Download PDFInfo
- Publication number
- CN107506645A CN107506645A CN201710764061.9A CN201710764061A CN107506645A CN 107506645 A CN107506645 A CN 107506645A CN 201710764061 A CN201710764061 A CN 201710764061A CN 107506645 A CN107506645 A CN 107506645A
- Authority
- CN
- China
- Prior art keywords
- default
- created
- virus
- white list
- condition code
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/034—Test or assess a computer or a system
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明提供了一种勒索病毒的检测方法和装置,该方法包括:若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;若匹配,则中断所述进程所执行的所述操作;向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;若所述进程为非法进程,则结束所述进程的所述操作,并将所述进程加入至预设黑名单。本发明能够对未知勒索病毒进行有效检测。
Description
技术领域
本发明涉及网络安全技术领域,特别是涉及一种勒索病毒的检测方法和装置。
背景技术
当用户系统(移动终端、客户端等)被该勒索病毒入侵后,勒索病毒会将用户系统上的重要文件(如:照片、图片、文档、压缩包、音频、视频、可执行程序等几乎所有类型的文件)进行加密,并以解密这些重要文件为要挟来勒索用户。
目前,针对勒索病毒的防护手段主要是以事后特征码查杀的方式来对用户系统进行安全防护,具体而言:杀毒软件的病毒库中存储有各个勒索病毒的特征码,当用户系统中打开任意一个文件时,杀毒软件可以按照每个勒索病毒的特征码位置来提取该文件中相应位置的特征码,并将文件相应位置的特征码与勒索病毒的特征码进行比对,如果一致,则说明该文件为病毒文件;如果不一致,则继续比对。以此来确定用户系统中打开的任意一个文件是否为勒索病毒文件,如果是,则对该文件作隔离处理。
但是,目前的这种特征码查杀的方案只能针对已知勒索病毒,而对于新的或变种的未知勒索病毒,则无法通过病毒库中的特征码匹配的方式来检测勒索病毒。也就是说,如果用户系统已经中了一种未知勒索病毒,即用户文件已经被加密,而操作系统只能等待杀毒软件更新病毒库,再针对病毒的征码来查杀,这种后期查杀并无法挽回用户的文件被加密所造成的损失。
由此可见,现有技术中的病毒查杀方案只能对已知勒索病毒进行检测,而对未知勒索病毒尚没有有效的检测方案。
发明内容
本发明提供了一种勒索病毒的检测方法和装置,以解决现有技术中无法对未知勒索病毒进行有效检测的问题。
为了解决上述问题,根据本发明的一个方面,本发明公开了一种勒索病毒的检测方法,包括:
若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;
若匹配,则中断所述进程所执行的所述操作;
向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;
根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
若所述进程为非法进程,则结束所述进程的所述操作,并将所述进程加入至预设黑名单。
根据本发明的另一方面,本发明还公开了一种勒索病毒的检测装置,包括:
第一判断模块,用于若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;
中断模块,用于若所述第一判断模块判断所述操作与预设勒索病毒操作相匹配,则中断所述进程所执行的所述操作;
发送模块,用于向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;
第二判断模块,用于根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
结束模块,用于若所述进程为非法进程,则结束所述进程的所述操作,并将所述进程加入至预设黑名单。
与现有技术相比,本发明包括以下优点:
本发明通过将任意一个运行的进程所执行的操作与预设勒索病毒操作相匹配,如果存在与该操作匹配一致的预设勒索病毒操作,则首先中断该进程执行的操作;再进一步地参考用户对该进程是否合法的意见,如果用户的意见也是该进程不合法,则结束该进程的操作,并将该进程加入至预设黑名单,这样,即便出现了未知勒索病毒,本发明仍旧能够依据预设勒索病毒操作来初步检测勒索病毒,并结合用户的意见进一步确定该进程是否为勒索病毒,实现了对未知勒索病毒的检测。
附图说明
图1是本发明的一种勒索病毒的检测方法实施例的步骤流程图;
图2是本发明的另一种勒索病毒的检测方法实施例的步骤流程图一;
图3是本发明的另一种勒索病毒的检测方法实施例的步骤流程图二;
图4是本发明的一种勒索病毒的检测装置实施例的结构框图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图和具体实施方式对本发明作进一步详细的说明。
参照图1,示出了本发明的一种勒索病毒的检测方法实施例的步骤流程图,具体可以包括如下步骤:
步骤101,若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;
其中,移动终端和个人电脑(personal computer,PC)设备中都可能存在文件被勒索病毒感染的问题,那么本发明实施例为了实现对被未知的勒索病毒的检测,以PC设备为例,每当检测到PC设备中有进程执行操作,不论该进程是何种进程,只要其执行操作(即检测到某个进程处于运行状态),那么本发明实施例的方法就判断该进程执行的操作是否与预设勒索病毒操作相匹配。其中,预设勒索病毒操作为利用先验信息预先设置的勒索类型的病毒普遍会执行的操作,其中,预设勒索病毒操作可以包括一个或多个操作。
其中,虽然勒索病毒本身可以不断变异更新,但是这种勒索病毒所执行的操作是不变的,因此,本发明实施例可以利用先验信息预先设置勒索病毒普遍会执行的操作,从而初步判断哪些进程为可疑进程。
若匹配,则执行步骤102,中断所述进程所执行的所述操作;
其中,如果当前处于运行状态的进程所执行的操作与勒索类型病毒所执行的操作一致,则可以说明该进程很有可能是勒索病毒,这里为了保证用户的文件安全,需要中断该进程所执行的操作。
步骤103,向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;
同时,还需要通知用户该进程为可疑进程,使用户再进一步判断该进程是否为合法进程,因为,有些安全的进程可能也会执行勒索病毒通常会执行的操作,因此,这里需要进一步根据用户的意见来判断该进程是否为合法进程。
当用户接收到该预设消息,如果判断该进程为非法进程,则将表示该进程为非法进程的响应消息返回至PC设备侧;如果判断该进程为合法进程,则将表示该进程为合法进程的响应消息返回至PC设备侧。
步骤104,根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
这里,本发明实施例的方法就可以根据接收到的对应于该预设消息的响应消息,来判断该进程是否合法,即用户的意见表示该进程是否合法。
若经过判断确定所述进程为非法进程,则执行步骤105,结束所述进程的所述操作,并将所述进程加入至预设黑名单。
其中,如果用户也不认识该进程,也未触发任何操作来运行该进程,则用户一般会认定该进程为非法进程,那么本发明实施例的方法就会结束该进程执行的操作,并将该进程加入至预设黑名单,这里可以确定该进程为勒索病毒。其中,加入预设黑名单中的进程文件都无法运行,预设黑名单是一种隔离文件的名单,以保证PC设备或移动终端的用户数据的安全。
借助于本发明上述实施例的技术方案,本发明通过将任意一个运行的进程所执行的操作与预设勒索病毒操作相匹配,如果存在与该操作匹配一致的预设勒索病毒操作,则首先中断该进程执行的操作;再进一步地参考用户对该进程是否合法的意见,如果用户的意见也是该进程不合法,则结束该进程的操作,并将该进程加入至预设黑名单,这样,即便出现了未知勒索病毒,本发明仍旧能够依据预设勒索病毒操作来初步检测勒索病毒,并结合用户的意见进一步确定该进程是否为勒索病毒,实现了对未知勒索病毒的检测。
参照图2和图3,下面结合一具体实施例来对本发明实施例的上述技术方案进行详细阐述。
S201,进程创建;
其中,可以检测是否有创建进程的操作;
S202,判断该进程是否具有数字签名判断;
其中,若检测到创建进程的操作,则判断待创建的所述进程是否具有数字签名;
若待创建的所述进程具有数字签名,则S206,信任该进程,放过不隔离处理;
其中,由于进程中的签名为该进程对应的应用程序或文件创建者的签名,因此,如果该进程具有数字签名,则说明该进程的来源可靠,即便该进程感染了勒索病毒,当发生病毒侵害时,也可以根据该数字签名来追责至相应的签名运营商,来维护用户的权益,所以,这里对具有数字签名的进程则不进行处理。
若待创建的所述进程不具有数字签名,则可以通过S203~S205来判断该进程属于黑名单或是白名单。其中,通过特征码提取的方式只是一种与名单内容匹配的方式,在其他实施例中,还以通过其他信息的匹配方式来确定该待创建的进程属于哪个名单。
S203,提取进程文件特征码;
即,可以对待创建的所述进程提取特征码;
其中,该特征码为标识该进程唯一性的编码,例如,该特征码可以是CRC校验码。
S204,判断白名单中是否具有该特征码;
其中,可以将所述特征码与预设白名单中的合法进程的特征码进行匹配,以判断该预设白名单中是否具有该待创建的进程的特征码;
S205,判断隔离文件名单中是否具有该特征码;
其中,可以将所述特征码与隔离文件名单(即,预设黑名单)中的非法进程的特征码进行匹配,以判断该预设黑名单中是否具有该待创建的进程的特征码;
其中,预设白名单、预设黑名单中保存的内容包括进程以及该进程的特征码。
若待创建的所述进程的特征码在白名单中,则S206,信任该进程,放过不隔离处理;
即,若所述特征码与所述预设白名单中的合法进程的特征码相匹配,则创建所述进程,不进行隔离处理;
若待创建的所述进程的特征码在隔离文件名单中,则S207,禁止进程启动;
即,若所述特征码与所述预设黑名单中的非法进程的特征码相匹配,则禁止所述进程启动;
若待创建的所述进程的特征码既不在隔离文件名单,也不在预设白名单中,则S208,将待创建的所述进程加入灰名单(可疑进程名单);
即,若所述特征码与所述预设黑名单中的非法进程的特征码、所述预设白名单中的合法进程的特征码均不匹配,则将该待创建的进程或进一步包括其特征码加入至预设灰名单,可选地,还可以创建所述进程;
其中,创建该进程的操作可以由本发明实施例的方法来实现,也可以由PC设备或移动终端本身原有存在的处理逻辑进行实现。
继续参照图3:
S301,进程行为监控;
其中,可以监控哪些进程在执行操作,即处于运行状态;
S302,判断执行操作的进程是否在灰名单中;
其中,若检测到有进程在执行操作,则判断执行操作的所述进程是否属于所述预设灰名单;
如果执行操作的该进程不在灰名单中,则S303,不对该进程执行监控;
如果执行操作的该进程在灰名单中,则S304,判断该进程所执行的所述操作是否与预设勒索病毒操作相匹配,其中,所述预设勒索病毒操作包括以下至少之一:文件重命名操作、写文件操作、删除文件操作、增加注册表操作、删除注册表操作。
其中,只要该进程执行的操作与上述任意一个预设勒索病毒操作相同,则S305,中断进程所执行的所述操作;
S306,将该进程通知至用户;
其中,可以向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程,而用户在看到该预设消息,则可以决定该进程是否为合法进程,并将其决定返回至终端侧;
S307,根据用户决定判断该进程是否合法;
即,可以根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
若所述进程为非法进程,则S308,则结束所述进程的所述操作,并将所述进程加入至隔离文件名单,即预设黑名单。
可选地,本发明实施例的方法还可以将加入至隔离文件名单中的进程上报至终端设备(移动终端、PC设备)安装的杀毒软件,以便杀毒软件可以更快的响应勒索病毒的威胁。
若所述进程为合法进程,则S309,将执行操作的所述进程或进一步包括该进程的特征码加入至所述预设白名单。
通过以上描述可以看出,即使新型勒索病毒感染了PC设备或移动终端,本发明实施例的检测方法仍然能够对新型勒索病毒进行第一时间的隔离控制和查杀,不会使勒索病毒对用户的数据造成伤害,很好的保护了用户数据;而且,本发明实施例在进程创建和进程运行时都进行相应的检测,进行勒索病毒的隔离和查杀,可以先于杀毒厂商查杀未知勒索病毒;并可以第一时间将检测到的新型勒索病毒上报给杀毒软件帮助其更快的响应勒索病毒的威胁;不仅实现了对已知的文件加密类勒索病毒的检测,还可以对未知文件加密类勒索病毒进行检测和隔离。
需要说明的是,对于方法实施例,为了简单描述,故将其都表述为一系列的动作组合,但是本领域技术人员应该知悉,本发明实施例并不受所描述的动作顺序的限制,因为依据本发明实施例,某些步骤可以采用其他顺序或者同时进行。其次,本领域技术人员也应该知悉,说明书中所描述的实施例均属于优选实施例,所涉及的动作并不一定是本发明实施例所必须的。
与上述本发明实施例所提供的方法相对应,参照图4,示出了本发明一种勒索病毒的检测装置实施例的结构框图,具体可以包括如下模块:
第一判断模块41,用于若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;
中断模块42,用于若所述第一判断模块判断所述操作与预设勒索病毒操作相匹配,则中断所述进程所执行的所述操作;
发送模块43,用于向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;
第二判断模块44,用于根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
结束模块45,用于若所述进程为非法进程,则结束所述进程的所述操作,并将所述进程加入至预设黑名单。
可选地,所述装置还包括:
第三判断模块,用于若检测到进程的创建操作,则判断待创建的所述进程是否属于预设白名单或预设黑名单;
第一操作模块,用于若待创建的所述进程既不属于所述预设白名单又不属于所述预设黑名单,则将待创建的所述进程加入至预设灰名单;
第四判断模块,用于判断执行操作的所述进程是否属于所述预设灰名单;
所述第一判断模块41,包括:
第一判断子模块,用于若执行操作的所述进程属于所述预设灰名单,则判断所述操作是否与预设勒索病毒操作相匹配。
可选地,所述装置还包括:
第五判断模块,用于判断待创建的所述进程是否具有数字签名;
所述第三判断模块包括:
第二判断子模块,用于若待创建的所述进程不具有数字签名,则判断待创建的所述进程是否属于预设白名单或预设黑名单。
可选地,所述第三判断模块,包括:
提取子模块,用于对待创建的所述进程提取特征码;
第一匹配子模块,用于将所述特征码与所述预设白名单中的合法进程的特征码进行匹配;
第二匹配子模块,用于将所述特征码与所述预设黑名单中的非法进程的特征码进行匹配;
可选地,所述装置还包括:
禁止模块,用于若所述特征码与所述预设黑名单中的非法进程的特征码相匹配,则禁止所述进程启动;
创建模块,用于若所述特征码与所述预设白名单中的合法进程的特征码相匹配,则创建所述进程;
所述第一操作模块,包括:
操作子模块,用于若所述特征码与所述预设黑名单中的非法进程的特征码、所述预设白名单中的合法进程的特征码均不匹配,则将待创建的所述进程加入至预设灰名单。
可选地,所述装置还包括:
第二操作模块,用于若所述进程为合法进程,则将执行操作的所述进程加入至所述预设白名单。
可选地,所述预设勒索病毒操作包括以下至少之一:
文件重命名操作、写文件操作、删除文件操作、增加注册表操作、删除注册表操作。
对于装置实施例而言,由于其与方法实施例基本相似,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
本领域内的技术人员应明白,本发明实施例的实施例可提供为方法、装置、或计算机程序产品。因此,本发明实施例可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明实施例可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明实施例是参照根据本发明实施例的方法、终端设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理终端设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理终端设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理终端设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理终端设备上,使得在计算机或其他可编程终端设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程终端设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明实施例的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例做出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明实施例范围的所有变更和修改。
最后,还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者终端设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者终端设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者终端设备中还存在另外的相同要素。
以上对本发明所提供的一种勒索病毒的检测方法和一种勒索病毒的检测装置,进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (12)
1.一种勒索病毒的检测方法,其特征在于,包括:
若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;
若匹配,则中断所述进程所执行的所述操作;
向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;
根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
若所述进程为非法进程,则结束所述进程的所述操作,并将所述进程加入至预设黑名单。
2.根据权利要求1所述的方法,其特征在于,
所述若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配之前,所述方法还包括:
若检测到进程的创建操作,则判断待创建的所述进程是否属于预设白名单或预设黑名单;
若待创建的所述进程既不属于所述预设白名单又不属于所述预设黑名单,则将待创建的所述进程加入至预设灰名单;
所述判断所述操作是否与预设勒索病毒操作相匹配之前,所述方法还包括:
判断执行操作的所述进程是否属于所述预设灰名单;
所述判断所述操作是否与预设勒索病毒操作相匹配,包括:
若执行操作的所述进程属于所述预设灰名单,则判断所述操作是否与预设勒索病毒操作相匹配。
3.根据权利要求2所述的方法,其特征在于,所述判断待创建的所述进程是否属于预设白名单或预设黑名单之前,所述方法还包括:
判断待创建的所述进程是否具有数字签名;
所述判断待创建的所述进程是否属于预设白名单或预设黑名单,包括:
若待创建的所述进程不具有数字签名,则判断待创建的所述进程是否属于预设白名单或预设黑名单。
4.根据权利要求2所述的方法,其特征在于,
所述判断待创建的所述进程是否属于预设白名单或预设黑名单,包括:
对待创建的所述进程提取特征码;
将所述特征码与所述预设白名单中的合法进程的特征码进行匹配;
将所述特征码与所述预设黑名单中的非法进程的特征码进行匹配;
所述判断待创建的所述进程是否属于预设白名单或预设黑名单之后,所述方法还包括:
若所述特征码与所述预设黑名单中的非法进程的特征码相匹配,则禁止所述进程启动;
若所述特征码与所述预设白名单中的合法进程的特征码相匹配,则创建所述进程;
所述若待创建的所述进程既不属于所述预设白名单又不属于所述预设黑名单,则将待创建的所述进程加入至预设灰名单,包括:
若所述特征码与所述预设黑名单中的非法进程的特征码、所述预设白名单中的合法进程的特征码均不匹配,则将待创建的所述进程加入至预设灰名单。
5.根据权利要求2所述的方法,其特征在于,所述根据所述响应消息判断所述进程是否为合法进程之后,所述方法还包括:
若所述进程为合法进程,则将执行操作的所述进程加入至所述预设白名单。
6.根据权利要求1所述的方法,其特征在于,所述预设勒索病毒操作包括以下至少之一:
文件重命名操作、写文件操作、删除文件操作、增加注册表操作、删除注册表操作。
7.一种勒索病毒的检测装置,其特征在于,包括:
第一判断模块,用于若检测到进程执行操作,则判断所述操作是否与预设勒索病毒操作相匹配;
中断模块,用于若所述第一判断模块判断所述操作与预设勒索病毒操作相匹配,则中断所述进程所执行的所述操作;
发送模块,用于向用户发送预设消息,所述预设消息表示通知用户判断所述进程是否为合法进程;
第二判断模块,用于根据接收的所述预设消息的响应消息,判断所述进程是否为合法进程;
结束模块,用于若所述进程为非法进程,则结束所述进程的所述操作,并将所述进程加入至预设黑名单。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
第三判断模块,用于若检测到进程的创建操作,则判断待创建的所述进程是否属于预设白名单或预设黑名单;
第一操作模块,用于若待创建的所述进程既不属于所述预设白名单又不属于所述预设黑名单,则将待创建的所述进程加入至预设灰名单;
第四判断模块,用于判断执行操作的所述进程是否属于所述预设灰名单;
所述第一判断模块,包括:
第一判断子模块,用于若执行操作的所述进程属于所述预设灰名单,则判断所述操作是否与预设勒索病毒操作相匹配。
9.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第五判断模块,用于判断待创建的所述进程是否具有数字签名;
所述第三判断模块包括:
第二判断子模块,用于若待创建的所述进程不具有数字签名,则判断待创建的所述进程是否属于预设白名单或预设黑名单。
10.根据权利要求8所述的装置,其特征在于,
所述第三判断模块,包括:
提取子模块,用于对待创建的所述进程提取特征码;
第一匹配子模块,用于将所述特征码与所述预设白名单中的合法进程的特征码进行匹配;
第二匹配子模块,用于将所述特征码与所述预设黑名单中的非法进程的特征码进行匹配;
所述装置还包括:
禁止模块,用于若所述特征码与所述预设黑名单中的非法进程的特征码相匹配,则禁止所述进程启动;
创建模块,用于若所述特征码与所述预设白名单中的合法进程的特征码相匹配,则创建所述进程;
所述第一操作模块,包括:
操作子模块,用于若所述特征码与所述预设黑名单中的非法进程的特征码、所述预设白名单中的合法进程的特征码均不匹配,则将待创建的所述进程加入至预设灰名单。
11.根据权利要求8所述的装置,其特征在于,所述装置还包括:
第二操作模块,用于若所述进程为合法进程,则将执行操作的所述进程加入至所述预设白名单。
12.根据权利要求7所述的装置,其特征在于,所述预设勒索病毒操作包括以下至少之一:
文件重命名操作、写文件操作、删除文件操作、增加注册表操作、删除注册表操作。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710764061.9A CN107506645A (zh) | 2017-08-30 | 2017-08-30 | 一种勒索病毒的检测方法和装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710764061.9A CN107506645A (zh) | 2017-08-30 | 2017-08-30 | 一种勒索病毒的检测方法和装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN107506645A true CN107506645A (zh) | 2017-12-22 |
Family
ID=60694339
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710764061.9A Pending CN107506645A (zh) | 2017-08-30 | 2017-08-30 | 一种勒索病毒的检测方法和装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107506645A (zh) |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI668593B (zh) * | 2018-03-27 | 2019-08-11 | 崑山科技大學 | 網路勒索病毒防護系統及其方法 |
| CN110691083A (zh) * | 2019-09-26 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
| CN111027065A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111125688A (zh) * | 2019-12-13 | 2020-05-08 | 北京浪潮数据技术有限公司 | 一种进程控制方法、装置及电子设备和存储介质 |
| CN112417437A (zh) * | 2020-10-28 | 2021-02-26 | 北京八分量信息科技有限公司 | 一种基于可信云平台的程序白名单生成方法 |
| CN115189944A (zh) * | 2022-07-08 | 2022-10-14 | 山石网科通信技术股份有限公司 | 勒索病毒拦截方法、装置、电子设备及存储介质 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8042186B1 (en) * | 2011-04-28 | 2011-10-18 | Kaspersky Lab Zao | System and method for detection of complex malware |
| CN103001947A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN105760759A (zh) * | 2015-12-08 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于进程监控的文档保护方法及系统 |
| CN106650447A (zh) * | 2016-12-28 | 2017-05-10 | 北京安天电子设备有限公司 | 一种防御PowerShell恶意代码执行的方法及系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
| CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
-
2017
- 2017-08-30 CN CN201710764061.9A patent/CN107506645A/zh active Pending
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US8042186B1 (en) * | 2011-04-28 | 2011-10-18 | Kaspersky Lab Zao | System and method for detection of complex malware |
| CN103001947A (zh) * | 2012-11-09 | 2013-03-27 | 北京奇虎科技有限公司 | 一种程序处理方法和系统 |
| CN107004089A (zh) * | 2014-08-11 | 2017-08-01 | 森蒂内尔实验室以色列有限公司 | 恶意软件检测方法及其系统 |
| CN105760759A (zh) * | 2015-12-08 | 2016-07-13 | 哈尔滨安天科技股份有限公司 | 一种基于进程监控的文档保护方法及系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106650447A (zh) * | 2016-12-28 | 2017-05-10 | 北京安天电子设备有限公司 | 一种防御PowerShell恶意代码执行的方法及系统 |
| CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| TWI668593B (zh) * | 2018-03-27 | 2019-08-11 | 崑山科技大學 | 網路勒索病毒防護系統及其方法 |
| CN110691083A (zh) * | 2019-09-26 | 2020-01-14 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
| CN110691083B (zh) * | 2019-09-26 | 2021-07-23 | 杭州安恒信息技术股份有限公司 | 一种基于进程的外联阻断方法 |
| CN111027065A (zh) * | 2019-10-28 | 2020-04-17 | 哈尔滨安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111027065B (zh) * | 2019-10-28 | 2023-09-08 | 安天科技集团股份有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN111125688A (zh) * | 2019-12-13 | 2020-05-08 | 北京浪潮数据技术有限公司 | 一种进程控制方法、装置及电子设备和存储介质 |
| CN111125688B (zh) * | 2019-12-13 | 2022-04-22 | 北京浪潮数据技术有限公司 | 一种进程控制方法、装置及电子设备和存储介质 |
| CN112417437A (zh) * | 2020-10-28 | 2021-02-26 | 北京八分量信息科技有限公司 | 一种基于可信云平台的程序白名单生成方法 |
| CN115189944A (zh) * | 2022-07-08 | 2022-10-14 | 山石网科通信技术股份有限公司 | 勒索病毒拦截方法、装置、电子设备及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107506645A (zh) | 一种勒索病毒的检测方法和装置 | |
| US10872151B1 (en) | System and method for triggering analysis of an object for malware in response to modification of that object | |
| US10652273B2 (en) | Mitigation of anti-sandbox malware techniques | |
| EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
| US7945787B2 (en) | Method and system for detecting malware using a remote server | |
| US10896254B2 (en) | Sandbox environment for document preview and analysis | |
| US8381303B2 (en) | System and method for attack and malware prevention | |
| US10728269B2 (en) | Method for conditionally hooking endpoint processes with a security agent | |
| US10476894B2 (en) | Evaluating installers and installer payloads | |
| US20080010538A1 (en) | Detecting suspicious embedded malicious content in benign file formats | |
| US10951642B2 (en) | Context-dependent timeout for remote security services | |
| US11929992B2 (en) | Encrypted cache protection | |
| US8341735B2 (en) | Method and arrangement for automatically controlling access between a computer and a communication network | |
| WO2009061320A2 (en) | Method and system for protecting a computer against malicious software | |
| US9785775B1 (en) | Malware management | |
| Hutchinson et al. | Forensic analysis of spy applications in android devices | |
| WO2022208045A1 (en) | Encrypted cache protection | |
| US10972469B2 (en) | Protecting critical data and application execution from brute force attacks | |
| KR100398044B1 (ko) | 프락시 서버에서의 악성 자바 애플릿 탐지 방법 | |
| CN111460451A (zh) | 一种基于病毒疫苗技术的软件防病毒感染系统及方法 | |
| CN106203078A (zh) | 桌面切换处理方法、装置和终端设备 | |
| CN116204880A (zh) | 一种计算机病毒防御系统 | |
| JP2017142552A (ja) | マルウェア注意喚起装置および方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20171222 |
|
| RJ01 | Rejection of invention patent application after publication |