CN108363923A - 一种勒索者病毒防御方法、系统及设备 - Google Patents
一种勒索者病毒防御方法、系统及设备 Download PDFInfo
- Publication number
- CN108363923A CN108363923A CN201710974031.0A CN201710974031A CN108363923A CN 108363923 A CN108363923 A CN 108363923A CN 201710974031 A CN201710974031 A CN 201710974031A CN 108363923 A CN108363923 A CN 108363923A
- Authority
- CN
- China
- Prior art keywords
- file
- specified
- attribute
- blackmailer
- specified file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明提出了一种勒索者防御方法、系统及设备,创建指定文件,并投放到磁盘中存储;动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性。本发明采用内容解析的方式判断是否有文件加密行为,能够有效减少误报,并有效检出勒索者病毒,从而在第一时间对病毒进行处置和防御,保障用户财产和信息安全。
Description
技术领域
本发明涉及信息安全技术领域,尤其涉及一种勒索者病毒防御方法、系统及设备。
背景技术
目前勒索者病毒对我们的生活所造成的影响已经越来越严重,勒索者病毒已经成为目前最主流的病毒之一。由于其制作相对简单,而带来的利益却是巨大的,因此得到了越来越多的黑客的关注。今年大规模爆发的WannaCry正是最好的说明。与此同时,勒索者病毒也从最初的简单全文加密变成了更加难判定的随机加密,而这些行为与实际操作行为越来越相似,从而使各个防护软件更加难识别文档是被病毒加密还是被人为手工更改。目前主流的安全厂商均采用备份文档的机制对抗勒索者病毒,但这只是事后补救的手段之一,并没有对勒索者病毒提供预判的能力。虽然目前勒索者病毒没有对备份文档进行加密,但是当勒索者病毒对备份文档进行二次加密后,这种事后补救的手段就变得毫无效果。因此,如何快速准确发现勒索者病毒是文档防御的重中之重。
发明内容
本发明正是考虑了上述现有技术存在的问题后提出的一种新型的防御策略。无论勒索者病毒如何升级、如何改进,都势必会对文档进行加密,同时一定会遍历磁盘上的所有文件,这是勒索者病毒的一个共性,本发明正是利用这两个关键点进行相关的提前预警和防御。保证了当勒索者病毒运行时能够及时被发现,并对病毒进行相应的处置,保证了个人文档的安全。
本发明为基于隐藏及特定文件内容解析的勒索者防御技术方案,具体发明内容包括:
一种勒索者病毒防御方法,包括:
创建指定文件,并投放到磁盘中存储;
动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;目的是在系统中存在勒索者病毒时,使病毒首先对指定文件进行加密,从而能够快速发现病毒;
动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性;主要对指定文件的文件大小和/或格式这两个属性进行监控,同时监控指定文件的文件编码上是否有变化。
进一步地,所述指定文件为文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的文件;所述不同格式的指定文件为用户常用且易被勒索者病毒利用的格式的文件,其格式包括:.doc、.docx、.xls、.xlsx、.pdf、.jpg。
进一步地,所述指定文件的文件大小互不相同。
上述指定文件的创建方式,包括编码形式和文件大小不同,目的是能够准确判断出系统进程中是否存在对应勒索者病毒加密规则的进程,进而为判断系统中是否存在勒索者病毒提供支持。
进一步地,所述判断系统中是否存在勒索者病毒,具体为:针对指定文件属性的变化,判断属性的修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述属性的修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改属性的指定文件进行深度分析。
进一步地,所述判断所述属性的修改是否为加密行为,具体包括:若所述指定文件中至少一个文件的属性被修改,且在文件编码上被修改的起始位置相同,且被修改后文件的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中至少一个文件的属性被修改,且在文件编码上修改的起始位置相同,但被修改后文件的文件大小不同,则监控相应修改进程,当所述修改进程修改的指定文件个数达到预设值,且被修改后文件的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件的属性全部被修改,且在文件编码上被修改的起始位置都相同,则判定所述修改为加密行为。
进一步地,还包括:将指定文件对Explorer.exe进行系统隐藏;这种隐藏不是简单的设置文件隐藏属性,而是使用驱动的方法将文件进行隐藏,这样就保证了Explorer进程看不到这些文件,从而在一定程度上保证了用户无法对这些文件进行操作,同时此文件隐藏方法也可以大大降低误报率。
一种勒索者病毒防御系统,其特征在于,包括指定文件创建模块、文件遍历置顶模块、勒索者病毒判断模块,具体为:
由指定文件创建模块创建指定文件,并投放到磁盘中存储;
之后利用文件遍历置顶模块动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;目的是在系统中存在勒索者病毒时,使病毒首先对指定文件进行加密,从而能够快速发现病毒;
由勒索者病毒判断模块动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性;主要对指定文件的文件大小和/或格式这两个属性进行监控,同时监控指定文件的文件编码上是否有变化。
进一步地,所述指定文件为文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的文件;所述不同格式的指定文件为用户常用且易被勒索者病毒利用的格式的文件,其格式包括:.doc、.docx、.xls、.xlsx、.pdf、.jpg。
进一步地,所述指定文件的文件大小互不相同。
上述指定文件的创建方式,包括编码形式和文件大小不同,目的是能够准确判断出系统进程中是否存在对应勒索者病毒加密规则的进程,进而为判断系统中是否存在勒索者病毒提供支持。
进一步地,所述判断系统中是否存在勒索者病毒,具体为:针对指定文件属性的变化,判断属性的修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述属性的修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改属性的指定文件进行深度分析。
进一步地,所述判断所述属性的修改是否为加密行为,具体包括:若所述指定文件中至少一个文件的属性被修改,且在文件编码上被修改的起始位置相同,且被修改后文件的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中至少一个文件的属性被修改,且在文件编码上修改的起始位置相同,但被修改后文件的文件大小不同,则监控相应修改进程,当所述修改进程修改的指定文件个数达到预设值,且被修改后文件的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件的属性全部被修改,且在文件编码上被修改的起始位置都相同,则判定所述修改为加密行为。
进一步地,所述指定文件是对Explorer.exe系统隐藏的;这种隐藏不是简单的设置文件隐藏属性,而是使用驱动的方法将文件进行隐藏,这样就保证了Explorer进程看不到这些文件,从而在一定程度上保证了用户无法对这些文件进行操作,同时此文件隐藏方法也可以大大降低误报率。
一种计算机设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现上述勒索者病毒防御方法。
一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器执行时实现上述勒索者病毒防御方法。
本发明采用诱饵机制自动在关键目录下生成特定格式文档,采用内容解析的方式判断是否有文件加密行为,能够有效减少误报,并有效检出勒索者病毒,从而在第一时间对病毒进行处置和防御,保障用户财产和信息安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明一种勒索者病毒防御的方法流程图;
图2为本发明另一种勒索者病毒防御的方法流程图;
图3为本发明一种勒索者病毒防御的系统结构图;
图4为本发明一种计算机设备的结构示意图。
具体实施方式
为了使本技术领域的人员更好地理解本发明实施例中的技术方案,并使本发明的上述目的、特征和优点能够更加明显易懂,下面结合附图对本发明中技术方案作进一步详细的说明。
本发明给出了一种勒索者病毒防御的方法实施例,如图1所示,包括:
S101:创建指定文件,并投放到磁盘中存储;
S102:动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;例如在动态遍历过程中,获取的第一个被遍历的文件的文件名为abc,则动态将指定文件的文件名修改为aaa;目的是在系统中存在勒索者病毒时,使病毒首先对指定文件进行加密,从而能够快速发现病毒;
S103:动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性。
优选地,所述指定文件为文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的文件;文件头不变是为了确保文件格式不表,一般文件头为文件的前200个字节,可以在文件的前200各字节后顺序添加100个字节的0和100个字节的1;所述不同格式的指定文件为用户常用且易被勒索者病毒利用的格式的文件,其格式包括:.doc、.docx、.xls、.xlsx、.pdf、.jpg。
优选地,所述指定文件的文件大小互不相同;可采用在创建指定文件过程中按照创建时间排序的方式,使指定文件的文件大小依次递增/递减,达到所述指定文件的文件大小互不相同的目的;例如各文件依次以500个字节的大小递增,第一个被创建的文件为1KB,则第二个为1.5KB,依次类推。
上述指定文件的创建方式,包括编码形式和文件大小不同,目的是生成诱饵文件,并通过特定格式诱饵文件判断出系统进程中是否存在对应勒索者病毒加密规则的进程,进而为判断系统中是否存在勒索者病毒提供支持。
优选地,所述判断系统中是否存在勒索者病毒,具体为:针对指定文件属性的变化,判断属性的修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述属性的修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改属性的指定文件进行深度分析。
优选地,所述判断所述属性的修改是否为加密行为,具体包括:若所述指定文件中至少一个文件的属性被修改,且在文件编码上被修改的起始位置相同,且被修改后文件的文件大小相同,则判定所述修改为加密行为;例如若所述指定文件中的2个文件被修改的起始位置相同,且修改后的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中至少一个文件的属性被修改,且在文件编码上修改的起始位置相同,但被修改后文件的文件大小不同,则监控相应修改进程,当所述修改进程修改的指定文件个数达到预设值,且被修改后文件的文件后缀相同,则判定所述修改为加密行为;例如若所述指定文件中的2个文件被修改的起始位置相同,但修改后的文件大小不同,则允许继续修改,当所述指定文件中4个文件被修改,且修改后的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件的属性全部被修改,且在文件编码上被修改的起始位置都相同,则判定所述修改为加密行为。
优选地,还包括:将指定文件对Explorer.exe进行系统隐藏;这种隐藏不是简单的设置文件隐藏属性,而是使用驱动的方法将文件进行隐藏,这样就保证了Explorer进程看不到这些文件,从而在一定程度上保证了用户无法对这些文件进行操作,同时此文件隐藏方法也可以大大降低误报率。
本发明同时给出了另一种勒索者病毒防御的方法实施例,如图2所示,包括:
S201:创建文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的指定文件,且所述指定文件的大小不同;文件头不变是为了确保文件格式不表,一般文件头为文件的前200个字节,可以在文件的前200各字节后顺序添加100个字节的0和100个字节的1,且按照文件创建时间先后顺序,各文件依次以500个字节的大小递增,例如第一个被创建的文件为1KB,则第二个为1.5KB,依次类推;该过程目的是生成诱饵文件,并通过特定格式诱饵文件判断出系统进程中是否存在对应勒索者病毒加密规则的进程,进而为判断系统中是否存在勒索者病毒提供支持;
S202:将所述指定文件投放到磁盘中,并将其对Explorer.exe进行系统隐藏;
S203:动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;例如在动态遍历过程中,获取的第一个被遍历的文件的文件名为abc,则动态将指定文件的文件名修改为aaa;
S204:动态监控所述指定文件的格式和/或大小,当格式和/或大小发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,并通知用户,否则恢复被修改的所述指定文件。
优选地,所述判断系统中是否存在勒索者病毒,具体为:针对所述指定文件格式和/或大小的修改,首先判断所述修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改的指定文件进行深度分析。
优选地,所述判断所述修改是否为加密行为,具体包括:若所述指定文件中的2个文件被修改的起始位置相同,且修改后的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中的2个文件被修改的起始位置相同,但修改后的文件大小不同,则允许继续修改,当所述指定文件中4个文件被修改,且修改后的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件全部被修改,且被修改的起始位置都相同,则判定所述修改为加密行为。
优选地,所述不同格式的指定文件为用户常用且易被勒索者病毒利用的格式的文件,其格式包括:.doc、.docx、.xls、.xlsx、.pdf、.jpg。
本发明还给出了一种勒索者病毒防御的系统实施例,如图3所示,包括指定文件创建模块301、文件遍历置顶模块302、勒索者病毒判断模块303,具体为:
由指定文件创建模块301创建指定文件,并投放到磁盘中存储;
之后利用文件遍历置顶模块302动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;目的是在系统中存在勒索者病毒时,使病毒首先对指定文件进行加密,从而能够快速发现病毒;
由勒索者病毒判断模块303动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性;主要对指定文件的文件大小和/或格式这两个属性进行监控,同时监控指定文件的文件编码上是否有变化。
优选地,所述指定文件为文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的文件;所述不同格式的指定文件为用户常用且易被勒索者病毒利用的格式的文件,其格式包括:.doc、.docx、.xls、.xlsx、.pdf、.jpg。
优选地,所述指定文件的文件大小互不相同。
上述指定文件的创建方式,包括编码形式和文件大小不同,目的是能够准确判断出系统进程中是否存在对应勒索者病毒加密规则的进程,进而为判断系统中是否存在勒索者病毒提供支持。
优选地,所述判断系统中是否存在勒索者病毒,具体为:针对指定文件属性的变化,判断属性的修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述属性的修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改属性的指定文件进行深度分析。
优选地,所述判断所述属性的修改是否为加密行为,具体包括:若所述指定文件中至少一个文件的属性被修改,且在文件编码上被修改的起始位置相同,且被修改后文件的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中至少一个文件的属性被修改,且在文件编码上修改的起始位置相同,但被修改后文件的文件大小不同,则监控相应修改进程,当所述修改进程修改的指定文件个数达到预设值,且被修改后文件的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件的属性全部被修改,且在文件编码上被修改的起始位置都相同,则判定所述修改为加密行为。
优选地,所述指定文件是对Explorer.exe系统隐藏的;这种隐藏不是简单的设置文件隐藏属性,而是使用驱动的方法将文件进行隐藏,这样就保证了Explorer进程看不到这些文件,从而在一定程度上保证了用户无法对这些文件进行操作,同时此文件隐藏方法也可以大大降低误报率。
另,本发明给出了一种实施例的计算机设备的结构示意图,如图4所示,包括存储器401、处理器402及存储在存储器401上并可在处理器402上运行的计算机程序,所述处理器402执行所述程序时,实现上述实施例中勒索者病毒防御的方法;同时还可能包括用于存储器401和处理器402通信的通信接口;所述存储器可能包含RAM存储器,也可能还包括非易失性存储器(non-volatile memory),例如至少一个磁盘存储器;所述处理器402可能是一个中央处理器(Central Processing Unit,简称为CPU),或者是特定集成电路(Application Specific Integrated Circuit,简称为ASIC),或者是被配置成实施本发明实施例的一个或多个集成电路;所述存储器401、处理器402可以独立部署,也可以集成在一块芯片上。
为了实现上述实施例,本发明还给出了一种非临时性计算机可读存储介质,其上存储有计算机程序,所述计算机程序被处理器402执行时实现上述实施例中勒索者病毒防御的方法。
本说明书中方法的实施例采用递进的方式描述,对于系统的实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。本发明针对现有技术缺乏对勒索者病毒进行有效发现和防御能力的问题,提出了基于隐藏及特定文件内容解析的勒索者防御方法、系统及设备,创建指定文件,并投放到磁盘中存储;动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性。本发明采用诱饵机制自动在关键目录下生成特定格式文档,采用内容解析的方式判断是否有文件加密行为,能够有效减少误报,并有效检出勒索者病毒,从而在第一时间对病毒进行处置和防御,保障用户财产和信息安全。
虽然通过实施例描绘了本发明,本领域普通技术人员知道,本发明有许多变形和变化而不脱离本发明的精神,希望所附的权利要求包括这些变形和变化而不脱离本发明的精神。
Claims (14)
1.一种勒索者病毒防御方法,其特征在于,包括:
创建指定文件,并投放到磁盘中存储;
动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;
动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性。
2.如权利要求1所述的方法,其特征在于,所述指定文件为文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的文件。
3.如权利要求2所述的方法,其特征在于,所述指定文件的文件大小互不相同。
4.如权利要求1至3任一所述的方法,其特征在于,所述判断系统中是否存在勒索者病毒,具体为:针对指定文件属性的变化,判断属性的修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述属性的修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改属性的指定文件进行深度分析。
5.如权利要求4所述的方法,其特征在于,所述判断所述属性的修改是否为加密行为,具体包括:若所述指定文件中至少一个文件的属性被修改,且在文件编码上被修改的起始位置相同,且被修改后文件的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中至少一个文件的属性被修改,且在文件编码上修改的起始位置相同,但被修改后文件的文件大小不同,则监控相应修改进程,当所述修改进程修改的指定文件个数达到预设值,且被修改后文件的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件的属性全部被修改,且在文件编码上被修改的起始位置都相同,则判定所述修改为加密行为。
6.如权利要求5所述的方法,其特征在于,还包括:将指定文件对Explorer.exe进行系统隐藏。
7.一种勒索者病毒防御系统,其特征在于,包括指定文件创建模块、文件遍历置顶模块、勒索者病毒判断模块,具体为:
由指定文件创建模块创建指定文件,并投放到磁盘中存储;
之后利用文件遍历置顶模块动态遍历磁盘中的文件,获取第一个被遍历的文件的文件名,并根据该文件名动态重命名所述指定文件,使所述指定文件在遍历顺序中置顶;
由勒索者病毒判断模块动态监控指定文件,当指定文件属性发生变化时根据预设条件判断系统中是否存在勒索者病毒,若是则关闭系统中对文件进行修改的进程,否则恢复指定文件的原有属性。
8.如权利要求7所述的系统,其特征在于,所述指定文件为文件头不变,文件头加1位置顺序填充规定个数0和/或1的不同格式的文件。
9.如权利要求8所述的系统,其特征在于,所述指定文件的文件大小互不相同。
10.如权利要求6至9任一所述的系统,其特征在于,所述判断系统中是否存在勒索者病毒,具体为:针对指定文件属性的变化,判断属性的修改是否来自用户操作,若是则判定系统中无勒索者病毒;
否则判断所述属性的修改是否为加密行为,若是则判定系统中存在勒索者病毒,否则上报被修改属性的指定文件进行深度分析。
11.如权利要求10所述的系统,其特征在于,所述判断所述属性的修改是否为加密行为,具体包括:若所述指定文件中至少一个文件的属性被修改,且在文件编码上被修改的起始位置相同,且被修改后文件的文件大小相同,则判定所述修改为加密行为;
若所述指定文件中至少一个文件的属性被修改,且在文件编码上修改的起始位置相同,但被修改后文件的文件大小不同,则监控相应修改进程,当所述修改进程修改的指定文件个数达到预设值,且被修改后文件的文件后缀相同,则判定所述修改为加密行为;
若所述指定文件的属性全部被修改,且在文件编码上被修改的起始位置都相同,则判定所述修改为加密行为。
12.如权利要求11所述的系统,其特征在于,所述指定文件是对Explorer.exe系统隐藏的。
13.一种计算机设备,其特征在于,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时,实现如权利要求1至6任一所述的勒索者病毒防御方法。
14.一种非临时性计算机可读存储介质,其上存储有计算机程序,其特征在于,所述计算机程序被处理器执行时实现如权利要求1至6任一所述的勒索者病毒防御方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710974031.0A CN108363923A (zh) | 2017-10-19 | 2017-10-19 | 一种勒索者病毒防御方法、系统及设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710974031.0A CN108363923A (zh) | 2017-10-19 | 2017-10-19 | 一种勒索者病毒防御方法、系统及设备 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108363923A true CN108363923A (zh) | 2018-08-03 |
Family
ID=63010020
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710974031.0A Pending CN108363923A (zh) | 2017-10-19 | 2017-10-19 | 一种勒索者病毒防御方法、系统及设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108363923A (zh) |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109359467A (zh) * | 2018-10-10 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
| CN110874474A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 勒索者病毒防御方法、装置、电子设备及存储介质 |
| CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
| CN111368298A (zh) * | 2020-02-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
| CN111414623A (zh) * | 2020-03-30 | 2020-07-14 | 四川效率源信息安全技术股份有限公司 | 一种针对GandCrab勒索病毒加密文件后的解密方法 |
| CN111475806A (zh) * | 2020-03-08 | 2020-07-31 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
| CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
| CN115329332A (zh) * | 2022-08-18 | 2022-11-11 | 广西飞创信息科技有限公司 | 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN106484570A (zh) * | 2016-10-28 | 2017-03-08 | 福建平实科技有限公司 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
| CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106778267A (zh) * | 2016-11-24 | 2017-05-31 | 北京金山安全管理系统技术有限公司 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
-
2017
- 2017-10-19 CN CN201710974031.0A patent/CN108363923A/zh active Pending
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN106484570A (zh) * | 2016-10-28 | 2017-03-08 | 福建平实科技有限公司 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
| CN106778267A (zh) * | 2016-11-24 | 2017-05-31 | 北京金山安全管理系统技术有限公司 | 一种应用于计算机文件的加密病毒的拦截方法及系统 |
| CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106845222A (zh) * | 2016-12-02 | 2017-06-13 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
Non-Patent Citations (1)
| Title |
|---|
| 张熙: "《黑客攻防实战100例 黑客入侵、检测、防范、恢复手册》", 31 March 2004 * |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110941822A (zh) * | 2018-09-21 | 2020-03-31 | 武汉安天信息技术有限责任公司 | 勒索病毒的检测方法及装置 |
| CN109359467B (zh) * | 2018-10-10 | 2020-11-20 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
| CN109359467A (zh) * | 2018-10-10 | 2019-02-19 | 杭州安恒信息技术股份有限公司 | 针对未知勒索病毒的精准识别与全网联动防御方法和系统 |
| CN110874474A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 勒索者病毒防御方法、装置、电子设备及存储介质 |
| CN111368298A (zh) * | 2020-02-27 | 2020-07-03 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
| CN111368298B (zh) * | 2020-02-27 | 2023-07-21 | 腾讯科技(深圳)有限公司 | 一种病毒文件识别方法、装置、设备及存储介质 |
| CN111475806B (zh) * | 2020-03-08 | 2022-08-05 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
| CN111475806A (zh) * | 2020-03-08 | 2020-07-31 | 苏州浪潮智能科技有限公司 | 一种基于访问权限的检测和防御勒索软件的方法 |
| CN111414623B (zh) * | 2020-03-30 | 2023-06-02 | 四川效率源信息安全技术股份有限公司 | 一种针对GandCrab勒索病毒加密文件后的解密方法 |
| CN111414623A (zh) * | 2020-03-30 | 2020-07-14 | 四川效率源信息安全技术股份有限公司 | 一种针对GandCrab勒索病毒加密文件后的解密方法 |
| CN111931171A (zh) * | 2020-08-10 | 2020-11-13 | 深信服科技股份有限公司 | 一种共享文件安全防护方法、装置、设备及存储介质 |
| CN112560040A (zh) * | 2020-12-25 | 2021-03-26 | 安芯网盾(北京)科技有限公司 | 一种计算机感染型病毒的通用检测的方法及装置 |
| CN115329332A (zh) * | 2022-08-18 | 2022-11-11 | 广西飞创信息科技有限公司 | 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108363923A (zh) | 一种勒索者病毒防御方法、系统及设备 | |
| RU2506638C2 (ru) | Система и способ аппаратного обнаружения и лечения неизвестного вредоносного программного обеспечения, установленного на персональном компьютере | |
| EP3014512B1 (en) | Reverse replication to rollback corrupted files | |
| WO2017160376A1 (en) | Systems and methods for generating tripwire files | |
| CN102810138A (zh) | 一种用户端文件的修复方法和系统 | |
| JP6461992B2 (ja) | 特定装置、その制御方法、及びプログラム | |
| CN105812427B (zh) | 文件上传和下载方法、装置、及文件服务器 | |
| US9749295B2 (en) | Systems and methods for internet traffic analysis | |
| CN105426748B (zh) | 一种规则文件的更新方法和设备 | |
| US9104320B2 (en) | Data integrity protection in storage volumes | |
| CN103761482B (zh) | 一种病毒程序检测的方法及病毒程序检测装置 | |
| Yun et al. | CLDSafe: an efficient file backup system in cloud storage against ransomware | |
| US8474038B1 (en) | Software inventory derivation | |
| US8655844B1 (en) | File version tracking via signature indices | |
| CN107015982A (zh) | 一种监控系统文件完整性的方法、装置和设备 | |
| CN107871079A (zh) | 一种可疑进程检测方法、装置、设备及存储介质 | |
| KR101710918B1 (ko) | 사용자파일을 암호화하는 악성코드의 모니터링 장치 및 방법 | |
| CN110457953A (zh) | 一种文件完整性的检测方法和装置 | |
| CN106598772A (zh) | 基于nvram的直接纠删码实现方法及海量存储系统 | |
| WO2023124041A1 (zh) | 一种勒索病毒检测方法以及相关系统 | |
| CN114201370B (zh) | 一种网页文件监控方法及系统 | |
| JP4050253B2 (ja) | コンピュータウィルス情報収集装置、コンピュータウィルス情報収集方法、及びプログラム | |
| CN111104404B (zh) | 基于分布式对象的数据存储方法及装置 | |
| CN105279434B (zh) | 恶意程序样本家族命名方法及装置 | |
| US11762984B1 (en) | Inbound link handling |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20180803 |
|
| WD01 | Invention patent application deemed withdrawn after publication |