CN108701188A - 响应于检测潜在勒索软件以用于修改文件备份的系统和方法 - Google Patents
响应于检测潜在勒索软件以用于修改文件备份的系统和方法 Download PDFInfo
- Publication number
- CN108701188A CN108701188A CN201680079102.4A CN201680079102A CN108701188A CN 108701188 A CN108701188 A CN 108701188A CN 201680079102 A CN201680079102 A CN 201680079102A CN 108701188 A CN108701188 A CN 108701188A
- Authority
- CN
- China
- Prior art keywords
- backup
- computing device
- file
- software
- backup copies
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 94
- 230000004044 response Effects 0.000 title claims abstract description 35
- 238000012986 modification Methods 0.000 title claims abstract description 24
- 230000004048 modification Effects 0.000 title claims abstract description 24
- 230000002159 abnormal effect Effects 0.000 claims abstract description 46
- 230000008569 process Effects 0.000 claims abstract description 42
- 238000012790 confirmation Methods 0.000 claims abstract description 37
- 238000001514 detection method Methods 0.000 claims description 33
- 230000015654 memory Effects 0.000 claims description 32
- 238000013459 approach Methods 0.000 claims description 8
- 230000000717 retained effect Effects 0.000 claims description 8
- 238000000926 separation method Methods 0.000 claims description 8
- 230000002155 anti-virotic effect Effects 0.000 claims description 6
- 238000009434 installation Methods 0.000 claims description 4
- 238000004891 communication Methods 0.000 description 36
- 230000008859 change Effects 0.000 description 14
- 238000010586 diagram Methods 0.000 description 10
- 230000006870 function Effects 0.000 description 7
- 230000005540 biological transmission Effects 0.000 description 5
- 238000004364 calculation method Methods 0.000 description 5
- 238000004590 computer program Methods 0.000 description 5
- 241000700605 Viruses Species 0.000 description 4
- 230000004224 protection Effects 0.000 description 4
- 230000001413 cellular effect Effects 0.000 description 3
- 238000006243 chemical reaction Methods 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 208000015181 infectious disease Diseases 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 230000002547 anomalous effect Effects 0.000 description 1
- 230000000712 assembly Effects 0.000 description 1
- 238000000429 assembly Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000008901 benefit Effects 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 239000011521 glass Substances 0.000 description 1
- PCHJSUWPFVWCPO-UHFFFAOYSA-N gold Chemical compound [Au] PCHJSUWPFVWCPO-UHFFFAOYSA-N 0.000 description 1
- 239000010931 gold Substances 0.000 description 1
- 229910052737 gold Inorganic materials 0.000 description 1
- 238000005259 measurement Methods 0.000 description 1
- 238000010295 mobile communication Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000002093 peripheral effect Effects 0.000 description 1
- 230000002265 prevention Effects 0.000 description 1
- 230000011218 segmentation Effects 0.000 description 1
- 230000001052 transient effect Effects 0.000 description 1
- 230000000007 visual effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1448—Management of the data involved in backup or backup restore
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/07—Responding to the occurrence of a fault, e.g. fault tolerance
- G06F11/14—Error detection or correction of the data by redundancy in operation
- G06F11/1402—Saving, restoring, recovering or retrying
- G06F11/1446—Point-in-time backing up or restoration of persistent data
- G06F11/1458—Management of the backup or restore process
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0602—Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
- G06F3/062—Securing storage systems
- G06F3/0623—Securing storage systems in relation to content
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0628—Interfaces specially adapted for storage systems making use of a particular technique
- G06F3/0646—Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
- G06F3/065—Replication mechanisms
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F3/00—Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
- G06F3/06—Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
- G06F3/0601—Interfaces specially adapted for storage systems
- G06F3/0668—Interfaces specially adapted for storage systems adopting a particular infrastructure
- G06F3/0671—In-line storage system
- G06F3/0673—Single storage device
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1425—Traffic logging, e.g. anomaly detection
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/20—Network architectures or network communication protocols for network security for managing network security; network security policies in general
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F11/00—Error detection; Error correction; Monitoring
- G06F11/30—Monitoring
- G06F11/34—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
- G06F11/3409—Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment for performance assessment
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2201/00—Indexing scheme relating to error detection, to error correction, and to monitoring
- G06F2201/81—Threshold
Abstract
本发明公开了一种响应于检测潜在勒索软件以用于修改文件备份的计算机实现的方法,所述方法可包括(1)在文件备份过程期间检测潜在地指示计算设备上勒索软件的异常,(2)响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他备份副本分离的位置中,(3)确认所述异常指示所述计算设备上的勒索软件,(4)响应于所述异常指示所述计算设备上的勒索软件的确认来调整备份策略,以及(5)基于所述经调整的备份策略来管理所述备份副本。本发明还公开了各种其他方法、系统和计算机可读介质。
Description
背景技术
勒索软件是一种特定形式的恶意软件,该恶意软件可通过防止访问或以其他方式妨碍该设备的正常功能而将计算设备固定为寄主,除非用户付费移除该恶意软件。例如,加密病毒的敲诈可通过加密用户的文件(例如,使用会话密钥)并且在解密该用户的文件和恢复该用户对其文件的访问之前要求付款来实现。
安全软件传统上试图在已经感染的设备和/或试图最小化感染期间造成的损坏之后移除恶意软件。然而,由于在加密病毒的敲诈的加密过程中使用了大量的密钥,所以这种形式的勒索软件在攻击之后可能几乎无法克服,而无需拥有攻击中使用的加密密钥。因为如此,一些安全解决方案可能会创建文件的备份副本(例如,通过镜像该设备上的现有文件),并且在发生攻击的情况下将它们存储在独立的位置。然而,如果未及时检测到勒索软件,则这些备份副本可能会简单地镜像该加密文件,并且没有留给该用户恢复选项。因此,本公开识别并解决了用于检测勒索软件和管理文件的另外和改进系统的需求,以便防止由于加密病毒的敲诈和其他形式的勒索软件的攻击而导致的文件和数据的完全丢失。
发明内容
如下文将更详细地描述,本公开整体涉及响应于通过分离有风险的备份副本并修改文件备份策略以处理特殊情况来检测潜在的勒索软件而修改文件备份的系统和方法。例如,所公开的系统可首先基于在文件备份期间检测到的异常文件和过程来检测潜在的勒索软件的攻击。所公开的系统然后可调整该文件备份策略,以潜在地隔离加密的备份副本,并防止它覆盖现有的文件备份。当不确认可疑勒索软件的攻击时,这些系统可能会恢复正常的备份操作。
在一个示例中,用于实现上述任务的计算机实现的方法可包括(1)在文件备份过程期间检测潜在地指示计算设备上勒索软件的异常,(2)响应于检测到潜在地指示勒索软件的该异常,将备份副本存储在与其他备份副本分离的位置中,(3)确认该异常指示该计算设备上的勒索软件,(4)响应于该异常指示该计算设备上的勒索软件的确认来调整备份策略,以及(5)基于该经调整的备份策略来管理该备份副本。
在一些示例中,检测潜在地指示该计算设备上的勒索软件的异常可包括确定该文件备份过程中至少一个文件的内容异常。在这些示例中,确定该文件的内容异常可包括确定该文件的内容与该文件的类型不匹配,确定该文件的标题与该文件的类型不匹配,和/或确定该文件的熵高于预期。除此之外或作为另外一种选择,在其他示例中,检测潜在地指示该计算设备上的勒索软件的异常可包括检测该计算设备上的异常文件修改过程。在这些示例中,检测异常文件修改过程可包括通过文件修改过程来确定资源的使用超过预定阈值和/或通过文件修改过程来确定访问的多个文件异常。
在一个实施例中,将该备份副本存储在分离的位置中可包括防止该备份副本替换其他备份副本中的现有备份副本。在一个示例中,确认该异常指示该计算设备上的勒索软件可包括识别该计算设备上的勒索软件,从安装在该计算设备上的杀毒软件处接收对勒索软件的确认,从该计算设备的用户处接收对勒索软件的确认,和/或在该计算设备接近度内的另一个计算设备上检测勒索软件的攻击。在该示例中,该计算设备的接近度可包括该计算设备的物理接近度和/或该计算设备和其他计算设备的逻辑分组。
在一些实施方案中,调整该备份策略可包括将至少一个文件隔离在该文件备份过程中。除此之外或作为另外一种选择,调整该备份策略可包括终止该文件备份过程。此外,调整该备份策略可包括调整该文件备份过程的频率,调整要保留的多个备份副本,和/或调整要备份的文件列表。
在一些示例中,基于该经调整的备份策略来管理该备份副本可包括丢弃该备份副本并保留安全的备份副本。在这些示例中,管理该备份副本也可包括使用该安全的备份副本替换该备份副本。
在一个示例中,该计算机实现的方法还可包括不确认该异常指示该计算设备上的勒索软件。该示例可另外包括将该备份副本与其他备份副本合并。
在一个实施方案中,用于实现上述方法的系统可包括(1)存储在存储器中的检测模块在文件备份过程期间检测潜在地指示计算设备上勒索软件的异常,(2)存储在存储器中的存储模块响应于检测到潜在地指示勒索软件的该异常,将备份副本存储在与其他备份副本分离的位置中,(3)存储在存储器中的确认模块确认该异常指示该计算设备上的勒索软件,(4)存储在存储器中的调整模块响应于该异常指示该计算设备上的勒索软件的确认来调整备份策略,以及(5)存储在存储器中的管理模块基于该经调整的备份策略来管理该备份副本。另外,该系统可包括执行检测模块、存储模块、确认模块、调整模块和管理模块的至少一个物理处理器。
在一些示例中,可将上述方法编码为非暂态计算机可读介质上的计算机可读指令。例如,计算机可读介质可包括一个或多个计算机可执行指令,当由计算设备的至少一个处理器执行时,可导致该计算设备(1)在文件备份过程期间检测潜在地指示计算设备上勒索软件的异常,(2)响应于检测到潜在地指示勒索软件的该异常,将备份副本存储在与其他备份副本分离的位置中,(3)确认该异常指示该计算设备上的勒索软件,(4)响应于该异常指示该计算设备上的勒索软件的确认来调整备份策略,以及(5)基于该经调整的备份策略来管理该备份副本。
来自上述实施方案中的任何一者的特征可根据本文所述的一般原理彼此结合地使用。通过结合附图和权利要求阅读下面的详细描述,将会更充分地理解这些和其他实施方案、特征和优点。
附图说明
附图示出了多个示例性实施方案并且为说明书的一部分。这些附图结合下面的描述展示并且说明本公开的各种原理。
图1为响应于检测潜在勒索软件以修改文件备份的示例性系统的框图。
图2为响应于检测潜在勒索软件以修改文件备份的另外示例性系统的框图。
图3为响应于检测潜在勒索软件以修改文件备份的示例性方法的流程图。
图4为在文件备份过程期间检测到的示例性异常的示例性检测的框图。
图5为用于管理备份副本的示例性备份策略的示例性调整的框图。
图6为能够实现本文所描述和/或例示的一个或多个实施方案的示例性计算系统的框图。
图7为能够实现本文所描述和/或例示的一个或多个实施方案的示例性计算网络的框图。
在全部附图中,相同引用字符和描述指示类似但未必相同的元件。虽然本文所述的示例性实施方案可以接受进行各种修改和替代形式,但在附图中以举例的方式示出了特定实施方案并且将在本文详细描述这些实施方案。然而,本文所述的示例性实施方案并非旨在限于所公开的特定形式。相反,本发明涵盖落在所附权利要求范围内的所有修改形式、等同形式和替代形式。
具体实施方式
本公开整体涉及响应于检测潜在勒索软件以修改文件备份的系统和方法。如将在下文中更详细阐述的,通过潜在地隔离感染的文件,本文所公开的系统和方法可提供更好的备份副本管理,以避免由于勒索软件而丢失数据。例如,通过在文件备份过程期间检测异常,所公开的系统和方法可识别可损害这些文件的潜在勒索软件。所公开的系统和方法然后可修改备份策略以适应潜在威胁,并且防止受感染的备份副本替换未加密的备份副本。
下面将参照图1和图2提供响应于检测潜在勒索软件以修改文件备份的示例性系统的详细描述。还将结合图3提供对应计算机实现的方法的详细描述。另外,将结合图4提供在文件备份过程期间检测到的示例性异常的示例性检测的详细描述。此外,将结合图5提供用于管理备份副本的示例性备份策略的示例性调整的详细描述。最后,将分别结合图6和图7提供能够实现本文所述实施方案中的一个或多个的示例性计算系统和网络体系结构的详细描述。
图1为响应于检测潜在勒索软件以修改文件备份的示例性系统100的框图。如本文所用,术语“勒索软件”通常是指恶意软件,其旨在限制访问计算机文件或组件,同时要求赎金以恢复访问权限。勒索软件的示例可包括而不限于,加密病毒的敲诈、加密程序、恐吓软件特洛伊木马或任何其他形式的恶意软件,这些恶意软件要求用户付款以移除该恶意软件创建的限制。
如图1所示,示例性系统100可包括用于执行一个或多个任务的一个或多个模块102。例如,如将在下文中更详细阐述的,示例性系统100可包括检测模块104,其可在文件备份过程期间检测在计算设备上潜在地指示勒索软件的异常。示例性系统100也可包括存储模块106,其响应于检测到潜在地指示勒索软件的该异常,可将备份副本存储在与其他备份副本分离的位置中。示例性系统100另外可包括确认模块108,其可确认该异常可以指示该计算设备上的勒索软件。此外,示例性系统100可包括调整模块110,其响应于确认该异常可以指示该计算设备上的勒索软件而可调整备份策略。术语“备份策略”,如本文所用,通常是指用于管理文件备份过程和文件的备份副本存储的一组规则。
最后,示例性系统100可包括管理模块112,其可基于该经调整的备份策略来管理该备份副本。尽管被示为独立元件,但图1中的模块102中的一者或多者可表示单个模块或应用程序的部分。
在某些实施方案中,图1中的模块102中的一者或多者可表示一个或多个软件应用程序或程序,所述软件应用程序或程序在被计算设备执行时,可使计算设备执行一个或多个任务。例如,并且如将在下文更详细地描述,模块102中的一个或多个可表示存储在一个或多个计算设备上并且被配置为在一个或多个计算设备上运行的软件模块,所述计算设备诸如为图2中示出的设备(例如,计算设备202和/或服务器206)、图6中的计算系统610和/或图7中的示例性网络体系结构700的部分。图1中的模块102中的一者或多者还可表示被配置为执行一个或多个任务的一台或多台专用计算机的全部或部分。
如图1所示,示例性系统100还可包括一个或多个数据库,诸如数据库120。在一个示例中,数据库120可被配置为存储备份副本122和/或其他备份副本124,其可包括现有的备份副本126,该备份副本包含计算设备(例如,计算设备202)上的文件的副本。数据库120也可被配置为存储备份策略,诸如可管理文件备份过程的备份策略214。
数据库120可表示单个数据库或计算设备的组成部分或者多个数据库或计算设备。例如,数据库120可表示图2中的服务器206的一部分、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。作为另外一种选择,图1中的数据库120可表示能够通过计算设备访问的一个或多个物理独立设备,诸如图2中的服务器206、图6中的计算系统610、和/或图7中的示例性网络体系结构700的部分。
图1中的示例性系统100可用多种方式来实现。例如,示例性系统100的全部或一部分可表示图2中的示例性系统200的部分。如图2所示,系统200可包括经由网络204与服务器206通信的计算设备202。在一个示例中,计算设备202可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。除此之外或作为另外一种选择,服务器206可用模块102中的一者或多者进行编程和/或可存储数据库120中的数据的全部或一部分。类似地,服务器206和计算设备202均可合并到单个机器或计算系统中。
在一个实施方案中,图1的模块102中的一个或多个模块在通过计算设备202的至少一个处理器和/或服务器206被执行时,使计算设备202和/或服务器206能够防止勒索软件影响文件备份副本。例如,如将在下文中更详细地描述,检测模块104可在文件备份过程期间检测潜在地指示计算设备202上的勒索软件的异常208。作为响应,存储模块106可将备份副本122存储在与其他备份副本124分离的位置。确认模块108然后可确认异常208指示计算设备202上的勒索软件。调整模块110然后可响应于确认异常208指示计算设备202上的勒索软件来调整备份策略214。最后,管理模块112可基于该经调整的备份策略214来管理备份副本122。
在图2的示例中,如将在下文中更详细地阐述的,计算设备202可首先检测异常208,并经由网络204将备份副本122与服务器206上的其他备份副本124分开存储,以防止覆盖现有的备份副本126。计算设备202然后可接收杀毒软件210对勒索软件212的确认。接下来,计算设备202可基于对勒索软件212的确认来调整备份策略214。最后,计算设备202可命令服务器206基于新调整的备份策略214来管理备份副本122。
计算设备202通常表示能够读取计算机可执行指令的任何类型或形式的计算设备。计算设备202的示例包括而不限于笔记本电脑、平板电脑、台式机、服务器、蜂窝电话、个人数字助理(PDA)、多媒体播放器、嵌入式系统、可穿戴设备(例如,智能手表、智能眼镜等)、游戏控制台、这些设备中一个或多个的组合、图6中的示例性计算系统610或任何其他合适的计算设备。
服务器206通常表示能够存储和/或管理文件的备份副本的任何类型或形式的计算设备。服务器206的例子包括但不限于被配置为提供各种数据库服务和/或运行某些软件应用程序的应用程序服务器和数据库服务器。
网络204通常表示能够促进通信或数据传输的任何介质或体系结构。网络204的示例包括而不限于内联网、广域网(WAN)、局域网(LAN)、个域网(PAN)、互联网、电力线通信(PLC)、蜂窝网络(例如,全球移动通信系统(GSM)网络)、图7中的示例性网络体系结构700等等。网络204可使用无线或有线连接来促进通信或数据传输。在一个实施例中,网络204可促进计算设备202与服务器206之间的通信。
图3为响应于检测潜在勒索软件以修改文件备份的示例性计算机实现的方法300的流程图。图3中示出的步骤可通过任何合适的计算机可执行代码和/或计算系统来执行。在一些实施方案中,图3中示出的步骤可通过图1中的系统100、图2中的系统200、图6中的计算系统610和/或图7中的示例性网络体系结构700的部分的组件中的一个或多个执行。
如图3所示,在步骤302处,在文件备份过程期间,本文所描述系统中的一者或多者可检测在计算设备上潜在地指示勒索软件的异常。例如,在文件备份过程期间,检测模块104可作为图2中的计算设备202的一部分以检测在计算设备202上潜在地指示勒索软件的异常208。
检测模块104可以多种方式检测异常208。在一些示例中,检测模块104可通过确定文件备份过程中的至少一个文件的内容是异常的来检测异常208。在这些示例中,确定该文件的内容异常可包括确定该文件的内容与该文件的类型不匹配,确定该文件的标题与该文件的类型不匹配,和/或确定该文件的熵高于预期。如本文所用,术语“文件熵”通常是指文件内数据值的随机性的量度。具体地,加密文件似乎更随机,并且具有比未加密版文件更高的文件熵值。
例如,如图4所示,检测模块104可检测关于文件400(1)、文件400(2)和文件400(3)在文件备份过程期间的信息。在该示例中,文件400(2)可具有与该文件类型(例如,“图像”)不匹配的文件标题(例如,“文本标题”)。另外,文件400(2)可具有高文件熵值。因此,检测模块104可基于文件400(2)的异常内容来检测异常208。
在其他示例中,检测模块104可通过检测计算设备202上的异常文件修改过程来检测异常208。在这些示例中,检测异常文件修改过程可包括通过文件修改过程来确定资源的使用超过预定阈值和/或通过文件修改过程来确定访问的多个文件异常。例如,检测模块104可检测用于打开易受勒索软件攻击的某些类型文件的处理能力的异常高消耗。在另一个示例中,在短时间周期内修改的大量文件也可指示勒索软件的攻击。资源的异常使用或文件的访问可以通过标准阈值或基于正常使用和已知勒索软件攻击情况的学习值来确定。
返回到图3,在步骤304处,本文所描述的系统中的一个或多个可响应于检测潜在地指示勒索软件的异常,将备份副本存储在与其他备份副本分离的位置。例如,作为图2中计算设备202的一部分,存储模块106响应于检测异常208,可将备份副本122存储在与其他备份副本124分离的位置。
存储模块106可以多种方式存储备份副本122。在一个实施方案中,存储模块106可通过防止备份副本122在其他备份副本124中替换现有的备份副本126,以将备份副本122存储在独立的位置中。在图2的示例中,备份副本122可以是与现有备份副本126相同的文件的附加副本,其独立存储在服务器206上。独立的位置可包括独立的云存储位置、分区存储或独立的服务器。另外,备份副本122可以临时存储在计算设备202或其他连接的存储设备上。
返回图3,在步骤306处,本文所描述的系统中的一个或多个可确定该异常指示该计算过程的勒索软件。例如,作为图2中计算设备202的一部分,确认模块108可确认异常208指示计算设备202上的勒索软件。
确认模块108可确认异常208以多种方式指示勒索软件。在一些示例中,确认模块108可识别计算设备202上的勒索软件。在图2的示例中,确认模块108可从安装在计算设备202上的杀毒软件210处接收对勒索软件212的确认。在该示例中,杀毒软件210可识别计算设备202上的勒索软件并将有关该勒索软件的信息发送至确认模块108。在其他示例中,确认模块108可从计算设备202的用户处接收对勒索软件212的确认。
在另外的示例中,确认模块108可在计算设备202接近度内的另一个计算设备上检测勒索软件的攻击。在这些示例中,计算设备202的接近度可包括计算设备202的物理接近度和/或计算设备202和其他计算设备的逻辑分组。例如,其他计算设备可以定位在与计算设备202相同的架构内,或者连接到相同的网络,诸如网络204。在另一个示例中,其他计算设备可以是与计算设备202相同的组织的一部分。在这些示例中,在其他计算设备上确认的勒索软件的攻击可指示计算设备202上的勒索软件的漏洞。确认模块108然后可接收对其他计算设备上的勒索软件的确认,并且确定异常208,以指示计算设备202上的勒索软件。
返回图3,在步骤308处,本文所描述的系统中的一个或多个可响应于确认该异常指示该计算设备上的勒索软件来调整备份策略。例如,调整模块110可作为图2中计算设备202的一部分,响应于确认异常208指示计算设备202上的勒索软件来调整备份策略214。
调整模块110可以多种方式调整备份策略214。在一个实施方案中,调整模块110可将该文件备份过程中的至少一个文件隔离,终止该文件备份过程,调整该文件备份过程的频率,调整要保留的多个备份副本,和/或调整要备份的文件列表。在该实施方案中,由于计算设备202上可疑勒索软件或对其他计算设备上的勒索软件的确认,该备份过程可更频繁地对未加密的副本进行备份。该文件备份过程的频率也可包括备份过程完成的速度和/或完全停止直到解决可疑勒索软件的速度。除此之外,例如,调整模块110可调整备份策略214中的文件列表,以排除可疑勒索软件目标或可能面临风险的特定文件的文件类型。
例如,如图5所示,备份策略214(1)可指定要保留的多个副本(例如,1)和要保留的特定备份副本(例如,备份副本122)。调整模块110然后可调整备份策略214(1),以创建备份策略214(2),该备份策略修改要保留的多个副本(例如,2)和要保留的备份副本(例如,备份副本122,安全副本500)。此外,调整模块110可隔离包含异常208的文件400(2),如图4所示。
返回图3,在步骤310处,本文所描述的系统中的一个或多个可基于该经调整的备份策略来管理该备份副本。例如,管理模块112可作为图2中的计算设备202的一部分,基于经调整的备份策略214来管理备份副本122。
管理模块112可以多种方式管理备份副本122。在一些示例中,管理模块112可丢弃备份副本122,保留安全的备份副本,和/或用安全的备份副本替换备份副本122。在图5的示例中,经调整的备份策略214(2)可保留备份副本122和安全副本500两者。在其他示例中,经调整的备份策略214可基于对图2中的勒索软件212的确认来丢弃备份副本122。安全副本500可包括未受勒索软件影响的先前备份副本,诸如现有的备份副本126。计算设备202可另外使用安全副本500来恢复该加密文件,诸如图4中的文件400(2)。
在一些实施方案中,本文所描述的系统中的一个或多个可不确认异常208指示计算设备202上的勒索软件,并将备份副本122与其他备份副本124合并。在这些实施方案中,该文件备份过程一般可继续利用其他备份副本124来存储备份副本122。备份副本122然后可安全地替换现有的备份副本126或同一文件另选的备份副本。除此之外,备份策略214可恢复到其原始版本,并且继续管理该文件备份过程。此外,用于检测异常的预定阈值可以基于对勒索软件的确认或不确认而进行调整。
如上面结合图3中的方法300所阐述的,所公开的系统和方法可通过检测在文件备份过程期间可指示潜在勒索软件攻击的异常,防止受勒索软件影响的加密备份副本替换未加密的备份副本。具体地,所公开的系统和方法可首先分析该备份过程中的文件以检测异常内容。例如,具有高文件熵值的文件可通过勒索软件指示潜在的加密。所公开的系统和方法然后可潜在地防止加密文件在等待对该攻击进行确认之际被备份。所公开的系统和方法然后可将备份副本与先前的备份副本独立存储,并修改备份策略以考虑另外的存储。在对勒索软件进行确认时,本文所描述的系统和方法可丢弃受影响的备份副本并恢复到先前的安全备份副本。因此,所公开的系统和方法可允许用户使用未加密的备份副本来恢复加密文件。
如上所详述,通过在文件备份期间评估文件,所公开的系统和方法可检测指示勒索软件攻击的异常。此外,通过基于对勒索软件的怀疑来调整备份策略,所公开的系统和方法可以能够防止加密文件的备份副本覆盖先前未加密版本的文件,这些文件可以用于恢复。因此,本文所描述的系统和方法可为备份副本提供更好的管理,以从勒索软件攻击中进行恢复。
图6为能够实现本文描述和/或例示的实施方案中的一个或多个的示例性计算系统610的框图。例如,计算系统610的全部或一部分可单独地或与其他元件结合来执行本文所述的步骤中的一个或多个(诸如图3所示的步骤中的一个或多个)和/或作为用于执行的装置。计算系统610的全部或一部分也可执行本文描述和/或例示的任何其他步骤、方法或过程和/或作为用于执行的装置。
计算系统610在广义上表示能够执行计算机可读指令的任何单处理器或多处理器计算设备或系统。计算系统610的示例包括而不限于:工作站、笔记本电脑、客户端方终端、服务器、分布式计算系统、手持设备或任何其他计算系统或设备。在其最基本的配置中,计算系统610可包括至少一个处理器614和系统存储器616。
处理器614通常表示能够处理数据或解译和执行指令的任何类型或形式的物理处理单元(例如,硬件实现的中央处理单元)。在某些实施方案中,处理器614可接收来自软件应用程序或模块的指令。这些指令可使处理器614执行本文描述和/或例示的一个或多个示例性实施方案的功能。
系统存储器616通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的易失性或非易失性存储设备或介质。系统存储器616的示例包括而不限于:随机存取存储器(RAM)、只读存储器(ROM)、闪存存储器或任何其他合适的存储器设备。尽管不是必需的,但在某些实施方案中,计算系统610可包括易失性存储器单元(诸如,例如,系统存储器616)和非易失性存储设备(诸如,例如,主存储设备632,如下详述)两者。在一个示例中,图1的模块102中的一个或多个可加载到系统存储器616中。
在某些实施方案中,除处理器614和系统存储器616之外,示例性计算系统610还可包括一个或多个组件或元件。例如,如图6所示,计算系统610可包括存储器控制器618、输入/输出(I/O)控制器620和通信接口622,它们中的每一个都可经由通信基础结构612互连。通信基础结构612通常表示能够促进计算设备的一个或多个组件之间的通信的任何类型或形式的基础结构。通信基础结构612的示例包括而不限于:通信总线(诸如工业标准体系结构(ISA)、外围组件互连(PCI)、PCI Express(PCIe)或类似的总线)和网络。
存储器控制器618通常表示能够处理存储器或数据或者控制计算系统610的一个或多个组件之间的通信的任何类型或形式的设备。例如,在某些实施方案中,存储器控制器618可经由通信基础结构612来控制处理器614、系统存储器616和I/O控制器620之间的通信。
I/O控制器620通常表示能够协调和/或控制计算设备的输入和输出功能的任何类型或形式的模块。例如,在某些实施方案中,I/O控制器620可控制或促进计算系统610的一个或多个元件之间的数据传输,这些元件是诸如处理器614、系统存储器616、通信接口622、显示适配器626、输入接口630和存储接口634。
通信接口622在广义上表示能够促进示例性计算系统610与一个或多个另外设备之间的通信的任何类型或形式的通信设备或适配器。例如,在某些实施方案中,通信接口622可促进计算系统610与包括另外计算系统的专用或公共网络之间的通信。通信接口622的示例包括而不限于:有线网络接口(诸如网络接口卡)、无线网络接口(诸如无线网络接口卡)、调制解调器和任何其他合适的接口。在至少一个实施方案中,通信接口622可经由与网络,诸如互联网的直接链接来提供与远程服务器的直接连接。通信接口622也可通过例如局域网(诸如以太网网络)、个人区域网、电话或电缆网络、蜂窝电话连接、卫星数据连接或任何其他合适的连接来间接提供此类连接。
在某些实施方案中,通信接口622还可表示主机适配器,该主机适配器被配置为经由外部总线或通信信道来促进计算系统610与一个或多个另外网络或存储设备之间的通信。主机适配器的示例包括但不限于:小型计算机系统接口(SCSI)主机适配器、通用串行总线(USB)主机适配器、电气与电子工程师协会(IEEE)1394主机适配器、高级技术附件(ATA)、并行ATA(PATA)、串行ATA(SATA)和外部SATA(eSATA)主机适配器、光纤通道接口适配器、以太网适配器等。通信接口622还可允许计算系统610参与分布式或远程计算。例如,通信接口622可接收来自远程设备的指令或将指令发送到远程设备以供执行。
如图6所示,计算系统610也可包括至少一个显示设备624,该显示设备经由显示适配器626联接到通信基础结构612。显示设备624通常表示能够以可视方式显示由显示适配器626转发的信息的任何类型或形式的设备。类似地,显示适配器626通常表示被配置为转发来自通信基础结构612(或来自帧缓冲器,如本领域中已知)的图形、文本和其他数据以在显示设备624上显示的任何类型或形式的设备。
如图6所示,示例性计算系统610还可包括经由输入接口630联接到通信基础结构612的至少一个输入设备628。输入设备628通常表示能够向示例性计算系统610提供输入(由计算机或人生成)的任何类型或形式的输入设备。输入设备628的示例包括而不限于:键盘、指示设备、语音识别设备或任何其他输入设备。
如图6所示,示例性计算系统610还可包括主存储设备632和经由存储接口634联接到通信基础结构612的备份存储设备633。存储设备632和633通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。例如,存储设备632和633可为磁盘驱动器(例如,所谓的硬盘驱动器)、固态驱动器、软盘驱动器、磁带驱动器、光盘驱动器、闪存驱动器等。存储接口634通常表示用于在存储设备632和633与计算系统610的其他组件之间传输数据的任何类型或形式的接口或设备。在一个示例中,图1的数据库120可存储在主要存储设备632中。
在某些实施方案中,存储设备632和633可被配置为对被配置为存储计算机软件、数据或其他计算机可读信息的可移除存储单元执行读取和/或写入。合适的可移除存储单元的示例包括但不限于:软盘、磁带、光盘、闪存存储器设备等。存储设备632和633还可包括允许将计算机软件、数据或其他计算机可读指令加载到计算系统610内的其他类似结构或设备。例如,存储设备632和633可被配置为读取和写入软件、数据或其他计算机可读信息。存储设备632和633还可为计算系统610的一部分,或者可为通过其他接口系统进行访问的独立设备。
可将许多其他设备或子系统连接到计算系统610。相反地,无需图6中示出的所有组件和设备都存在,亦可实践本文描述和/或例示的实施方案。上文提及的设备和子系统也可通过不同于图6所示的方式互连。计算系统610也可采用任何数量的软件、固件和/或硬件配置。例如,本文所公开的一个或多个示例性实施方案可被编码为计算机可读介质上的计算机程序(也称为计算机软件、软件应用程序、计算机可读指令或计算机控制逻辑)。如本文所用,短语“计算机可读介质”通常指能够存储或携带计算机可读指令的任何形式的设备、载体或介质。计算机可读介质的示例包括而不限于:传输型介质(诸如载波)和非暂态型介质(诸如磁存储介质,例如,硬盘驱动器、带驱动器和软盘)、光存储介质(例如,光盘(CD)、数字视频盘(DVD)和蓝光光盘)、电子存储介质(例如,固态驱动器和闪存介质)和其他分配系统。
可将包含计算机程序的计算机可读介质加载到计算系统610中。然后可将计算机可读介质上存储的全部或部分计算机程序存储在系统存储器616和/或存储设备632和633的各个部分中。当由处理器614执行时,加载到计算系统610中的计算机程序可使处理器614执行本文描述和/或例示的示例性实施方案中的一个或多个的功能和/或作为用于执行其的装置。除此之外或作为另外一种选择,可在固件和/或硬件中实现本文描述和/或例示的示例性实施方案中的一者或多者。例如,计算系统610可被配置为用于实现本文所公开的示例性实施方案中的一个或多个的专用集成电路(ASIC)。
图7为示例性网络体系结构700的框图,其中客户端系统710、720和730以及服务器740和745可联接到网络750。如上所详述,网络体系结构700的全部或一部分可单独地或与其他元件结合来执行本文所公开的步骤中的一个或多个(诸如图3所示的步骤中的一个或多个)和/或作为用于执行其的装置。网络体系结构700的全部或一部分还可用于执行本公开中阐述的其他步骤和特征和/或作为用于执行其的装置。
客户端系统710,720和730通常表示任何类型或形式的计算设备或系统,诸如图6中的示例性计算系统610。类似地,服务器740和745通常表示被配置为提供各种数据库服务和/或运行某些软件应用程序的计算设备或系统,诸如应用程序服务器或数据库服务器。网络750通常表示任何电信或计算机网络包括,例如,内联网、WAN、LAN、PAN或互连网。在一个示例中,客户端系统710,720和/或730和/或服务器740和/或745可包括图1的系统100的全部或一部分。
如图7所示,一个或多个存储设备760(1)-(N)可直接附接到服务器740。类似地,一个或多个存储设备770(1)-(N)可直接附接到服务器745。存储设备760(1)-(N)和存储设备770(1)-(N)通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。在某些实施方案中,存储设备760(1)-(N)和存储设备770(1)-(N)可表示被配置为使用各种协议(诸如网络文件系统(NFS)、服务器消息块(SMB)或通用互联网文件系统(CIFS))与服务器740和745进行通信的网络附接存储(NAS)设备。
服务器740和745也可连接到存储区域网络(SAN)架构780。SAN架构780通常表示能够促进多个存储设备之间的通信的任何类型或形式的计算机网络或体系结构。SAN架构780可促进服务器740和745与多个存储设备790(1)-(N)和/或智能存储阵列795之间的通信。SAN架构780还可通过网络750以及服务器740和745以这样的方式促进客户端系统710,720和730与存储设备790(1)-(N)和/或智能存储阵列795之间的通信:设备790(1)-(N)和阵列795呈现为客户端系统710,720和730的本地附接设备。与存储设备760(1)-(N)和存储设备770(1)-(N)相同,存储设备790(1)-(N)和智能存储阵列795通常表示能够存储数据和/或其他计算机可读指令的任何类型或形式的存储设备或介质。
在某些实施方案中,并参照图6的示例性计算系统610,通信接口(诸如图6中的通信接口622)可用于在每个客户端系统710、720和730与网络750之间提供连接性。客户端系统710、720和730可能能够使用例如网页浏览器或其他客户端软件来访问服务器740或745上的信息。此类软件可允许客户端系统710、720和730访问由服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)或智能存储阵列795托管的数据。尽管图7示出了使用网络(诸如互联网)来交换数据,但本文描述和/或例示的实施方案并非仅限于互联网或任何特定的基于网络的环境。
在至少一个实施方案中,本文所公开的一个或多个示例性实施方案中的全部或一部分可被编码为计算机程序并加载到服务器740、服务器745、存储设备760(1)-(N)、存储设备770(1)-(N)、存储设备790(1)-(N)、智能存储阵列795或它们的任意组合上并加以执行。本文所公开的一个或多个示例性实施方案中的全部或一部分也可被编码为计算机程序,存储在服务器740中,由服务器745运行,以及通过网络750分配到客户端系统710、720和730。
如上所详述,计算系统610和/或网络体系结构700的一个或多个组件可执行和/或作为一种装置用于单独地或与其他元件结合来执行响应于检测潜在勒索软件以修改文件备份的示例性方法的一个或多个步骤。
虽然上述公开内容使用特定框图、流程图和示例阐述了各种实施方案,但每个框图组件、流程图步骤、操作和/或本文描述和/或例示的组件可使用多种硬件、软件或固件(或其任何组合)配置单独和/或共同地实现。此外,包含在其他组件内的组件的任何公开内容应当被视为在本质上是示例性的,因为可实施许多其他体系结构来实现相同功能。
在一些示例中,图1中的示例性系统100的全部或一部分可表示云计算环境或基于网络的环境的部分。云计算环境可通过互联网提供各种服务和应用程序。这些基于云的服务(例如软件即服务、平台即服务、基础结构即服务等)可通过网页浏览器或其他远程接口进行访问。本文所述的各种功能可通过远程桌面环境或任何其他基于云的计算环境提供。
在各种实施方案中,图1中的示例性系统100的全部或一部分可促进基于云的计算环境内的多租户应用。换句话讲,本文所述的软件模块可配置计算系统(例如,服务器)以促进本文所述功能中的一个或多个的多租户应用。例如,本文所述软件模块中的一个或多个可对服务器进行编程以允许两个或更多个客户端(例如,顾客)共享正在服务器上运行的应用程序。以这种方式编程的服务器可在多个顾客(即,租户)之间共享应用程序、操作系统、处理系统和/或存储系统。本文所述模块中的一个或多个还可为每个顾客分割多租户应用程序的数据和/或配置信息使得一个顾客不能访问另一个顾客的数据和/或配置信息。
根据各种实施方案,图1中的示例性系统100的全部或一部分可在虚拟环境内实现。例如,本文所述模块和/或数据可在虚拟机内驻留和/或执行。如本文所用,短语“虚拟机”通常指由虚拟机管理器(例如,超级管理程序)从计算硬件中抽象出来的任何操作系统环境。除此之外或作为另外一种选择,本文所述的模块和/或数据可在虚拟化层内驻留和/或执行。如本文所用,短语“虚拟化层”通常指覆盖操作系统环境和/或从操作系统环境中抽象出来的任何数据层和/或应用层。虚拟化层可由软件虚拟化解决方案(例如,文件系统过滤器)管理,软件虚拟化解决方案将虚拟化层呈现为就好像它是底层基本操作系统的一部分。例如,软件虚拟化解决方案可将最初定向至基本文件系统和/或注册表内的位置的调用重定向至虚拟化层内的位置。
在一些示例中,图1中的示例性系统100的全部或一部分可表示移动计算环境的部分。移动计算环境可由多种移动计算设备来实现,这些设备包括移动电话、平板电脑、电子书阅读器、个人数字助理、可穿戴计算设备(例如,具有头戴式显示器的计算设备、智能手表等),等等。在一些示例中,移动计算环境可具有一个或多个区别特征,包括例如对电池供电的依赖、在任何给定时间只呈现一个前台应用程序、远程管理特征、触摸屏特征、(例如,由全球定位系统、陀螺仪、加速度计等提供的)位置和移动数据、限制对系统级配置的修改和/或限制第三方软件检查其他应用程序的行为的能力的受限平台、限制应用程序的安装的控制装置(例如,仅安装来源于经批准的应用程序商店的应用程序)等等。本文所述的各种功能可被提供用于移动计算环境和/或可与移动计算环境交互。
此外,图1中的示例性系统100的全部或一部分可表示一个或多个信息管理系统的部分,与一个或多个信息管理系统交互,使用由一个或多个信息管理系统产生的数据和/或产生被一个或多个信息管理系统使用的数据。如本文所用,短语“信息管理”可以指数据的保护、组织和/或存储。信息管理系统的示例可包括但不限于:存储系统、备份系统、存档系统、复制系统、高可用性系统、数据搜索系统、虚拟化系统等。
在一些实施方案中,图1中的示例性系统100的全部或一部分可表示一个或多个信息安全系统的部分,产生受一个或多个信息安全系统保护的数据和/或与一个或多个信息安全系统通信。如本文所用,短语“信息安全”可以指对受保护数据的访问控制。信息安全系统的示例可包括而不限于:提供受管理的安全服务的系统、数据丢失防护系统、身份认证系统、访问控制系统、加密系统、策略遵循系统、入侵检测与防护系统、电子发现系统等等。
根据一些示例,图1中的示例性系统100的全部或一部分可表示一个或多个端点安全系统的部分、与一个或多个端点安全系统通信和/或受一个或多个端点安全系统保护。如本文所用,短语“端点安全”可以指保护端点系统以避免未授权和/或不合法的使用、访问和/或控制。端点保护系统的示例可包括而不限于:反恶意软件系统、用户认证系统、加密系统、保密系统、垃圾邮件过滤服务,等等。
本文描述和/或例示的过程参数和步骤序列仅通过举例的方式给出并且可根据需要改变。例如,虽然本文示出和/或描述的步骤可以特定顺序示出或讨论,但这些步骤不一定需要按例示或讨论的顺序来执行。本文描述和/或例示的各种示例性方法也可省略本文描述或例示的步骤中的一个或多个,或除了所公开的那些步骤之外还包括另外步骤。
虽然在全功能计算系统的背景中描述和/或例示了各种实施方案,但这些示例性实施方案中的一个或多个可作为各种形式的程序产品来分配,而不顾及用于实际执行分配的计算机可读介质的特定类型。本文所公开的实施方案也可使用执行某些任务的软件模块来实现。这些软件模块可包括脚本、批文件或可存储在计算机可读存储介质上或计算系统中的其他可执行文件。在一些实施方案中,这些软件模块可将计算系统配置为执行本文所公开的示例性实施方案中的一个或多个。
此外,本文所述的模块中的一个或多个可将数据、物理设备和/或物理设备的表示从一种形式转换为另一种形式。例如,本文所述的一个或多个模块可接收待转换的备份策略,转换该备份策略,将该转换的结果输出到存储或输出设备,使用该转换的结果来管理文件的备份副本,并将该转换的结果存储在服务器或数据库中。除此之外或作为另外一种选择,本文所述模块中的一个或多个可通过在计算设备上执行、在计算设备上存储数据和/或以其他方式与计算设备交互,来将处理器、易失性存储器、非易失性存储器、和/或物理计算设备的任何其他部分从一种形式转换为另一种形式。
提供前面描述的目的是使本领域的其他技术人员能够最好地利用本文所公开的示例性实施方案的各种方面。该示例性描述并非旨在是详尽的或局限于所公开的任何精确形式。在不脱离本发明精神和范围的前提下,可进行许多修改和变化。本文所公开的实施方案在所有方面均应被视为示例性的而非限制性的。应当参考所附权利要求及其等同形式来确定本发明的范围。
除非另有说明,否则在本说明书和权利要求中使用的术语“连接到”和“联接到”(以及其衍生形式)应该理解为允许直接和间接(即,经由其他元件或组件)连接。此外,在本说明书和权利要求中使用的术语“一”或“一个”应当理解为表示“…中的至少一者”。最后,为了易于使用,在本说明书和权利要求中使用的术语“包括”和“具有”(以及其衍生形式)与词语“包含”可互换并且与词语“包含”具有相同含义。
Claims (20)
1.一种响应于检测潜在勒索软件以用于修改文件备份的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备执行,所述方法包括:
在文件备份过程期间检测潜在地指示所述计算设备上的勒索软件的异常;
响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他备份副本分离的位置中;
确认所述异常指示所述计算设备上的勒索软件;
响应于所述异常指示所述计算设备上的勒索软件的确认来调整备份策略;
基于所述经调整的备份策略来管理所述备份副本。
2.根据权利要求1所述的方法,其中检测潜在地指示所述计算设备上的勒索软件的所述异常包括以下中的至少一者:
确定所述文件备份过程中至少一个文件的内容异常;
检测所述计算设备上的异常文件修改过程。
3.根据权利要求2所述的方法,其中确定所述文件的内容异常包括以下中的至少一者:
确定所述文件的内容与所述文件的类型不匹配;
确定所述文件的标题与所述文件的类型不匹配;
确定所述文件的熵高于预期。
4.根据权利要求2所述的方法,其中检测所述异常文件修改过程包括以下中的至少一者:
通过所述文件修改过程来确定资源的使用超过预定阈值;
通过所述文件修改过程来确定访问的多个文件异常。
5.根据权利要求1所述的方法,其中将所述备份副本存储在所述分离的位置中包括防止所述备份副本替换所述其他备份副本中的现有备份副本。
6.根据权利要求1所述的方法,其中确认所述异常指示所述计算设备上的勒索软件包括以下中的至少一者:
识别所述计算设备上的勒索软件;
从安装在所述计算设备上的杀毒软件接收对勒索软件的确认;
从所述计算设备的用户接收对勒索软件的所述确认;
在所述计算设备接近度内的另一个计算设备上检测勒索软件的攻击。
7.根据权利要求6所述的方法,其中所述计算设备的所述接近度包括以下中的至少一者:
所述计算设备的物理接近度;
所述计算设备和所述其他计算设备的逻辑分组。
8.根据权利要求1所述的方法,其中调整所述备份策略包括以下中的至少一者:
将至少一个文件隔离在所述文件备份过程中;
终止所述文件备份过程;
调整所述文件备份过程的频率;
调整要保留的多个备份副本;
调整要备份的文件列表。
9.根据权利要求1所述的方法,其中基于所述经调整的备份策略来管理所述备份副本包括:
丢弃所述备份副本;
保留安全的备份副本;
使用所述安全的备份副本替换所述备份副本。
10.根据权利要求1所述的方法,还包括:
不确认所述异常指示所述计算设备上的勒索软件;
将所述备份副本与所述其他备份副本合并。
11.一种响应于检测潜在勒索软件以用于修改文件备份的系统,所述系统包括:
存储在存储器中的检测模块,所述检测模块在文件备份过程期间检测潜在地指示计算设备上勒索软件的异常;
存储在存储器中的存储模块,所述存储模块响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他备份副本分离的位置中;
存储在存储器中的确认模块,所述确认模块确认所述异常指示所述计算设备上的勒索软件;
存储在存储器中的调整模块,所述调整模块响应于所述异常指示所述计算设备上的勒索软件的确认来调整备份策略;
存储在存储器中的管理模块,所述管理模块基于所述经调整的备份策略来管理所述备份副本;
至少一个处理器,所述至少一个处理器执行所述检测模块、所述存储模块、所述确认模块、所述调整模块和所述管理模块。
12.根据权利要求11所述的系统,其中所述检测模块通过以下中的至少一者来检测潜在地指示所述计算设备上的勒索软件的所述异常:
确定所述文件备份过程中至少一个文件的内容异常;
检测所述计算设备上的异常文件修改过程。
13.根据权利要求12所述的系统,其中确定所述文件的内容异常包括以下中的至少一者:
确定所述文件的内容与所述文件的类型不匹配;
确定所述文件的标题与所述文件的类型不匹配;
确定所述文件的熵高于预期。
14.根据权利要求12所述的系统,其中检测所述异常文件修改过程包括以下中的至少一者:
通过所述文件修改过程来确定资源的使用超过预定阈值;
通过所述文件修改过程来确定访问的多个文件异常。
15.根据权利要求11所述的系统,其中所述存储模块通过防止所述备份副本在所述其他备份副本中替换现有备份副本来将所述备份副本存储在所述分离的位置中。
16.根据权利要求11所述的系统,其中所述确认模块通过以下中的至少一者来确认所述异常指示所述计算设备上的勒索软件:
识别所述计算设备上的勒索软件;
从安装在所述计算设备上的杀毒软件接收对勒索软件的确认;
从所述计算设备的用户接收对勒索软件的所述确认;
在所述计算设备接近度内的另一个计算设备上检测勒索软件的攻击。
17.根据权利要求16所述的系统,其中所述计算设备的所述接近度包括以下中的至少一者:
所述计算设备的物理接近度;
所述计算设备和所述其他计算设备的逻辑分组。
18.根据权利要求11所述的系统,其中所述调整模块通过以下中的至少一项来调整所述备份政策:
将至少一个文件隔离在所述文件备份过程中;
终止所述文件备份过程;
调整所述文件备份过程的频率;
调整要保留的多个备份副本;
调整要备份的文件列表。
19.根据权利要求11所述的系统,其中所述管理模块基于所述经调整的备份策略来管理所述备份副本:
丢弃所述备份副本;
保留安全的备份副本;
使用所述安全的备份副本替换所述备份副本。
20.一种非暂态计算机可读介质,包括一个或多个计算机可执行指令,所述计算机可执行指令当由计算设备的至少一个处理器执行时,使所述计算设备:
在文件备份过程期间检测潜在地指示所述计算设备上的勒索软件的异常;
响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他备份副本分离的位置中;
确认所述异常指示所述计算设备上的勒索软件;
响应于所述异常指示所述计算设备上的勒索软件的确认来调整备份策略;
基于所述经调整的备份策略来管理所述备份副本。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US15/011695 | 2016-02-01 | ||
| US15/011,695 US10742665B2 (en) | 2016-02-01 | 2016-02-01 | Systems and methods for modifying file backups in response to detecting potential ransomware |
| PCT/US2016/069021 WO2017136073A1 (en) | 2016-02-01 | 2016-12-28 | Systems and methods for modifying file backups in response to detecting potential ransomware |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN108701188A true CN108701188A (zh) | 2018-10-23 |
| CN108701188B CN108701188B (zh) | 2021-09-24 |
Family
ID=57882142
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201680079102.4A Active CN108701188B (zh) | 2016-02-01 | 2016-12-28 | 响应于检测潜在勒索软件以用于修改文件备份的系统和方法 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US10742665B2 (zh) |
| EP (1) | EP3411825B1 (zh) |
| JP (1) | JP6689992B2 (zh) |
| CN (1) | CN108701188B (zh) |
| WO (1) | WO2017136073A1 (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10742665B2 (en) | 2016-02-01 | 2020-08-11 | NortonLifeLock Inc. | Systems and methods for modifying file backups in response to detecting potential ransomware |
| CN114424194A (zh) * | 2019-04-23 | 2022-04-29 | 微软技术许可有限责任公司 | 自动恶意软件修复和文件恢复管理 |
Families Citing this family (68)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20130227352A1 (en) | 2012-02-24 | 2013-08-29 | Commvault Systems, Inc. | Log monitoring |
| US9934265B2 (en) | 2015-04-09 | 2018-04-03 | Commvault Systems, Inc. | Management of log data |
| US10609075B2 (en) | 2016-05-22 | 2020-03-31 | Guardicore Ltd. | Masquerading and monitoring of shared resources in computer networks |
| US20170366563A1 (en) * | 2016-06-21 | 2017-12-21 | Guardicore Ltd. | Agentless ransomware detection and recovery |
| US10715533B2 (en) * | 2016-07-26 | 2020-07-14 | Microsoft Technology Licensing, Llc. | Remediation for ransomware attacks on cloud drive folders |
| US10671724B2 (en) * | 2016-09-15 | 2020-06-02 | Paypal, Inc. | Techniques for detecting encryption |
| US10867040B2 (en) * | 2016-10-17 | 2020-12-15 | Datto, Inc. | Systems and methods for detecting ransomware infection |
| US10387648B2 (en) * | 2016-10-26 | 2019-08-20 | Cisco Technology, Inc. | Ransomware key extractor and recovery system |
| US10262135B1 (en) * | 2016-12-13 | 2019-04-16 | Symantec Corporation | Systems and methods for detecting and addressing suspicious file restore activities |
| US10121003B1 (en) * | 2016-12-20 | 2018-11-06 | Amazon Technologies, Inc. | Detection of malware, such as ransomware |
| US11580221B2 (en) * | 2016-12-29 | 2023-02-14 | Dropbox, Inc. | Malware detection and content item recovery |
| US10289844B2 (en) * | 2017-01-19 | 2019-05-14 | International Business Machines Corporation | Protecting backup files from malware |
| US10628585B2 (en) | 2017-01-23 | 2020-04-21 | Microsoft Technology Licensing, Llc | Ransomware resilient databases |
| JP6341307B1 (ja) * | 2017-03-03 | 2018-06-13 | 日本電気株式会社 | 情報処理装置 |
| US11960603B2 (en) * | 2017-04-25 | 2024-04-16 | Druva Inc. | Multi-step approach for ransomware detection |
| US11003775B2 (en) * | 2017-09-11 | 2021-05-11 | Carbon Black, Inc. | Methods for behavioral detection and prevention of cyberattacks, and related apparatus and techniques |
| US11216559B1 (en) * | 2017-09-13 | 2022-01-04 | NortonLifeLock Inc. | Systems and methods for automatically recovering from malware attacks |
| US20190108341A1 (en) * | 2017-09-14 | 2019-04-11 | Commvault Systems, Inc. | Ransomware detection and data pruning management |
| US11120133B2 (en) | 2017-11-07 | 2021-09-14 | Spinbackup Inc. | Ransomware protection for cloud storage systems |
| US20190158512A1 (en) * | 2017-11-20 | 2019-05-23 | Fortinet, Inc. | Lightweight anti-ransomware system |
| US11010233B1 (en) | 2018-01-18 | 2021-05-18 | Pure Storage, Inc | Hardware-based system monitoring |
| CN108459927B (zh) * | 2018-02-28 | 2021-11-26 | 北京奇艺世纪科技有限公司 | 一种数据备份方法、装置和服务器 |
| KR101899774B1 (ko) * | 2018-03-16 | 2018-09-19 | 주식회사 시큐브 | 랜섬웨어 대응을 위한 데이터 처리 방법, 이를 실행시키는 프로그램 및 상기 프로그램을 기록한 컴퓨터 판독 가능한 기록매체 |
| US10769278B2 (en) * | 2018-03-30 | 2020-09-08 | Microsoft Technology Licensing, Llc | Service identification of ransomware impact at account level |
| US11200320B2 (en) * | 2018-03-30 | 2021-12-14 | Microsoft Technology Licensing, Llc | Coordinating service ransomware detection with client-side ransomware detection |
| US11308207B2 (en) | 2018-03-30 | 2022-04-19 | Microsoft Technology Licensing, Llc | User verification of malware impacted files |
| US10917416B2 (en) * | 2018-03-30 | 2021-02-09 | Microsoft Technology Licensing, Llc | Service identification of ransomware impacted files |
| US10963564B2 (en) | 2018-03-30 | 2021-03-30 | Microsoft Technology Licensing, Llc | Selection of restore point based on detection of malware attack |
| US11223649B2 (en) | 2018-05-06 | 2022-01-11 | Nec Corporation | User-added-value-based ransomware detection and prevention |
| US11080147B2 (en) | 2018-05-16 | 2021-08-03 | International Business Machines Corporation | Adjusting backup data in response to an abnormality detection |
| US10942816B1 (en) * | 2018-09-06 | 2021-03-09 | NortonLifeLock Inc. | Systems and methods for dynamically adjusting a backup policy |
| US10795994B2 (en) | 2018-09-26 | 2020-10-06 | Mcafee, Llc | Detecting ransomware |
| US11089056B2 (en) | 2018-09-28 | 2021-08-10 | Sophos Limited | Intrusion detection with honeypot keys |
| US10891200B2 (en) * | 2019-01-18 | 2021-01-12 | Colbalt Iron, Inc. | Data protection automatic optimization system and method |
| US11063907B2 (en) | 2019-01-18 | 2021-07-13 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
| US11308209B2 (en) | 2019-01-18 | 2022-04-19 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
| US11212304B2 (en) * | 2019-01-18 | 2021-12-28 | Cobalt Iron, Inc. | Data protection automatic optimization system and method |
| KR102017889B1 (ko) * | 2019-03-25 | 2019-09-03 | 임채율 | 팬 필터 유니트 모니터링 시스템 |
| US11405409B2 (en) * | 2019-04-29 | 2022-08-02 | Hewlett Packard Enterprise Development Lp | Threat-aware copy data management |
| US11100064B2 (en) | 2019-04-30 | 2021-08-24 | Commvault Systems, Inc. | Automated log-based remediation of an information management system |
| US11616810B2 (en) | 2019-06-04 | 2023-03-28 | Datto, Inc. | Methods and systems for ransomware detection, isolation and remediation |
| US11347881B2 (en) | 2020-04-06 | 2022-05-31 | Datto, Inc. | Methods and systems for detecting ransomware attack in incremental backup |
| US10990675B2 (en) | 2019-06-04 | 2021-04-27 | Datto, Inc. | Methods and systems for detecting a ransomware attack using entropy analysis and file update patterns |
| KR102258910B1 (ko) * | 2019-08-07 | 2021-06-01 | 순천향대학교 산학협력단 | 백업 시스템에서 파일의 엔트로피를 기반으로 기계학습을 활용한 효과적인 랜섬웨어 탐지 방법 및 시스템 |
| US11693963B2 (en) | 2019-08-13 | 2023-07-04 | International Business Machines Corporation | Automatic ransomware detection with an on-demand file system lock down and automatic repair function |
| US11651075B2 (en) | 2019-11-22 | 2023-05-16 | Pure Storage, Inc. | Extensible attack monitoring by a storage system |
| US11675898B2 (en) | 2019-11-22 | 2023-06-13 | Pure Storage, Inc. | Recovery dataset management for security threat monitoring |
| US20210382992A1 (en) * | 2019-11-22 | 2021-12-09 | Pure Storage, Inc. | Remote Analysis of Potentially Corrupt Data Written to a Storage System |
| US11341236B2 (en) | 2019-11-22 | 2022-05-24 | Pure Storage, Inc. | Traffic-based detection of a security threat to a storage system |
| US11625481B2 (en) | 2019-11-22 | 2023-04-11 | Pure Storage, Inc. | Selective throttling of operations potentially related to a security threat to a storage system |
| US11687418B2 (en) * | 2019-11-22 | 2023-06-27 | Pure Storage, Inc. | Automatic generation of recovery plans specific to individual storage elements |
| US11657155B2 (en) | 2019-11-22 | 2023-05-23 | Pure Storage, Inc | Snapshot delta metric based determination of a possible ransomware attack against data maintained by a storage system |
| US11755751B2 (en) | 2019-11-22 | 2023-09-12 | Pure Storage, Inc. | Modify access restrictions in response to a possible attack against data stored by a storage system |
| US11941116B2 (en) | 2019-11-22 | 2024-03-26 | Pure Storage, Inc. | Ransomware-based data protection parameter modification |
| US11615185B2 (en) | 2019-11-22 | 2023-03-28 | Pure Storage, Inc. | Multi-layer security threat detection for a storage system |
| US11720692B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Hardware token based management of recovery datasets for a storage system |
| US11720714B2 (en) | 2019-11-22 | 2023-08-08 | Pure Storage, Inc. | Inter-I/O relationship based detection of a security threat to a storage system |
| US11520907B1 (en) | 2019-11-22 | 2022-12-06 | Pure Storage, Inc. | Storage system snapshot retention based on encrypted data |
| US11645162B2 (en) | 2019-11-22 | 2023-05-09 | Pure Storage, Inc. | Recovery point determination for data restoration in a storage system |
| US11354195B2 (en) * | 2020-02-03 | 2022-06-07 | EMC IP Holding Company LLC | System and method for intelligent asset classification |
| KR102395263B1 (ko) * | 2020-08-20 | 2022-05-10 | 한국전자통신연구원 | 메모리 분석 기반 암호화 키 복구 장치 및 방법 |
| IT202000028874A1 (it) | 2020-11-27 | 2022-05-27 | F&F S R L | Metodo, sistema, dispositivo e uso anti-ransomware di restore and data protection per endpoint |
| US11971989B2 (en) | 2021-02-02 | 2024-04-30 | Predatar Ltd | Computer recovery system |
| US11574050B2 (en) | 2021-03-12 | 2023-02-07 | Commvault Systems, Inc. | Media agent hardening against ransomware attacks |
| CN113360909B (zh) * | 2021-06-17 | 2022-10-28 | 深圳融安网络科技有限公司 | 勒索病毒防御方法、勒索病毒防御设备及可读存储介质 |
| CN113949555B (zh) * | 2021-10-13 | 2023-01-31 | 中国商用飞机有限责任公司 | 基于时间标记和数据比对模块的机上网络防御方法和系统 |
| US11663336B1 (en) | 2022-04-06 | 2023-05-30 | Dell Products L.P. | Block-based protection from ransomware |
| US11755733B1 (en) | 2022-04-06 | 2023-09-12 | Dell Products L.P. | Identifying ransomware host attacker |
Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6611850B1 (en) * | 1997-08-26 | 2003-08-26 | Reliatech Ltd. | Method and control apparatus for file backup and restoration |
| US20040107199A1 (en) * | 2002-08-22 | 2004-06-03 | Mdt Inc. | Computer application backup method and system |
| JP2009116773A (ja) * | 2007-11-09 | 2009-05-28 | Hitachi Ltd | バックアップ実行可否判定システム |
| CN101546284A (zh) * | 2009-04-28 | 2009-09-30 | 冠捷科技(武汉)有限公司 | 一种液晶显示设备数据资料的恢复方法 |
| US20110041004A1 (en) * | 2009-08-12 | 2011-02-17 | Hitachi, Ltd. | Backup management method based on mode of failure |
| US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| US20130067576A1 (en) * | 2011-09-13 | 2013-03-14 | F-Secure Corporation | Restoration of file damage caused by malware |
| US8499349B1 (en) * | 2009-04-22 | 2013-07-30 | Trend Micro, Inc. | Detection and restoration of files patched by malware |
| US20130254839A1 (en) * | 2005-12-28 | 2013-09-26 | Websense, Inc. | Real time lockdown |
| US20140007181A1 (en) * | 2012-07-02 | 2014-01-02 | Sumit Sarin | System and method for data loss prevention in a virtualized environment |
| US20140090061A1 (en) * | 2012-09-26 | 2014-03-27 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| US20140122508A1 (en) * | 2012-10-30 | 2014-05-01 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
| US20140223566A1 (en) * | 2013-02-01 | 2014-08-07 | Kaspersky Lab, Zao | System and method for automatic generation of heuristic algorithms for malicious object identification |
| US20150058987A1 (en) * | 2013-08-22 | 2015-02-26 | F-Secure Corporation | Detecting File Encrypting Malware |
| US20150172304A1 (en) * | 2013-12-16 | 2015-06-18 | Malwarebytes Corporation | Secure backup with anti-malware scan |
| US9317686B1 (en) * | 2013-07-16 | 2016-04-19 | Trend Micro Inc. | File backup to combat ransomware |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10019574B2 (en) * | 2011-12-22 | 2018-07-10 | Intel Corporation | Systems and methods for providing dynamic file system awareness on storage devices |
| US9578042B2 (en) * | 2015-03-06 | 2017-02-21 | International Business Machines Corporation | Identifying malicious web infrastructures |
| US10303666B2 (en) * | 2015-03-09 | 2019-05-28 | International Business Machines Corporation | File transfer system using file backup times |
| US9934265B2 (en) * | 2015-04-09 | 2018-04-03 | Commvault Systems, Inc. | Management of log data |
| WO2017023775A1 (en) * | 2015-07-31 | 2017-02-09 | Digital Guardian, Inc. | Systems and methods of protecting data from malware processes |
| WO2017125935A1 (en) * | 2016-01-24 | 2017-07-27 | Minerva Labs Ltd. | Ransomware attack remediation |
| US10742665B2 (en) | 2016-02-01 | 2020-08-11 | NortonLifeLock Inc. | Systems and methods for modifying file backups in response to detecting potential ransomware |
| US10303877B2 (en) * | 2016-06-21 | 2019-05-28 | Acronis International Gmbh | Methods of preserving and protecting user data from modification or loss due to malware |
-
2016
- 2016-02-01 US US15/011,695 patent/US10742665B2/en active Active
- 2016-12-28 WO PCT/US2016/069021 patent/WO2017136073A1/en active Application Filing
- 2016-12-28 CN CN201680079102.4A patent/CN108701188B/zh active Active
- 2016-12-28 JP JP2018537460A patent/JP6689992B2/ja active Active
- 2016-12-28 EP EP16829470.0A patent/EP3411825B1/en active Active
Patent Citations (17)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US6611850B1 (en) * | 1997-08-26 | 2003-08-26 | Reliatech Ltd. | Method and control apparatus for file backup and restoration |
| US20040107199A1 (en) * | 2002-08-22 | 2004-06-03 | Mdt Inc. | Computer application backup method and system |
| US20130254839A1 (en) * | 2005-12-28 | 2013-09-26 | Websense, Inc. | Real time lockdown |
| JP2009116773A (ja) * | 2007-11-09 | 2009-05-28 | Hitachi Ltd | バックアップ実行可否判定システム |
| US8499349B1 (en) * | 2009-04-22 | 2013-07-30 | Trend Micro, Inc. | Detection and restoration of files patched by malware |
| CN101546284A (zh) * | 2009-04-28 | 2009-09-30 | 冠捷科技(武汉)有限公司 | 一种液晶显示设备数据资料的恢复方法 |
| US20110041004A1 (en) * | 2009-08-12 | 2011-02-17 | Hitachi, Ltd. | Backup management method based on mode of failure |
| US20110082838A1 (en) * | 2009-10-07 | 2011-04-07 | F-Secure Oyj | Computer security method and apparatus |
| US20130067576A1 (en) * | 2011-09-13 | 2013-03-14 | F-Secure Corporation | Restoration of file damage caused by malware |
| CN102629310A (zh) * | 2012-02-29 | 2012-08-08 | 卡巴斯基实验室封闭式股份公司 | 用于保护计算机系统免遭恶意对象活动侵害的系统和方法 |
| US20140007181A1 (en) * | 2012-07-02 | 2014-01-02 | Sumit Sarin | System and method for data loss prevention in a virtualized environment |
| US20140090061A1 (en) * | 2012-09-26 | 2014-03-27 | Northrop Grumman Systems Corporation | System and method for automated machine-learning, zero-day malware detection |
| US20140122508A1 (en) * | 2012-10-30 | 2014-05-01 | FHOOSH, Inc. | Systems and methods for secure storage of user information in a user profile |
| US20140223566A1 (en) * | 2013-02-01 | 2014-08-07 | Kaspersky Lab, Zao | System and method for automatic generation of heuristic algorithms for malicious object identification |
| US9317686B1 (en) * | 2013-07-16 | 2016-04-19 | Trend Micro Inc. | File backup to combat ransomware |
| US20150058987A1 (en) * | 2013-08-22 | 2015-02-26 | F-Secure Corporation | Detecting File Encrypting Malware |
| US20150172304A1 (en) * | 2013-12-16 | 2015-06-18 | Malwarebytes Corporation | Secure backup with anti-malware scan |
Non-Patent Citations (1)
| Title |
|---|
| 孙凤杰: "修改默认存储路径使系统更安全", 《计算机光盘软件与应用》 * |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10742665B2 (en) | 2016-02-01 | 2020-08-11 | NortonLifeLock Inc. | Systems and methods for modifying file backups in response to detecting potential ransomware |
| CN114424194A (zh) * | 2019-04-23 | 2022-04-29 | 微软技术许可有限责任公司 | 自动恶意软件修复和文件恢复管理 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP2019505919A (ja) | 2019-02-28 |
| JP6689992B2 (ja) | 2020-04-28 |
| WO2017136073A1 (en) | 2017-08-10 |
| CN108701188B (zh) | 2021-09-24 |
| US10742665B2 (en) | 2020-08-11 |
| US20170223031A1 (en) | 2017-08-03 |
| EP3411825B1 (en) | 2020-02-05 |
| EP3411825A1 (en) | 2018-12-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108701188A (zh) | 响应于检测潜在勒索软件以用于修改文件备份的系统和方法 | |
| US9245123B1 (en) | Systems and methods for identifying malicious files | |
| EP3374922B1 (en) | Systems and methods for protecting backed-up data from ransomware attacks | |
| CN107810504B (zh) | 基于用户行为确定恶意下载风险的系统和方法 | |
| CN109074452B (zh) | 用于生成绊网文件的系统和方法 | |
| US20200082081A1 (en) | Systems and methods for threat and information protection through file classification | |
| US9077747B1 (en) | Systems and methods for responding to security breaches | |
| US10410158B1 (en) | Systems and methods for evaluating cybersecurity risk | |
| JP6196393B2 (ja) | プリインストールアプリケーションのスキャンを最適化するためのシステム及び方法 | |
| US9813443B1 (en) | Systems and methods for remediating the effects of malware | |
| US11275831B1 (en) | Systems and methods for detecting anomalous system command line data | |
| US10366233B1 (en) | Systems and methods for trichotomous malware classification | |
| JP2019516160A (ja) | セキュリティ脅威を検出するためのシステム及び方法 | |
| CN108027757A (zh) | 用于从不透明数据备份流恢复数据的系统和方法 | |
| US20200169570A1 (en) | Systems and methods for detecting malware infections associated with domain generation algorithms | |
| US10489587B1 (en) | Systems and methods for classifying files as specific types of malware | |
| US11032319B1 (en) | Systems and methods for preparing honeypot computer files | |
| CN109997138A (zh) | 用于检测计算设备上的恶意进程的系统和方法 | |
| US9900330B1 (en) | Systems and methods for identifying potentially risky data users within organizations | |
| US11023580B1 (en) | Systems and methods for cross-product malware categorization | |
| US10887339B1 (en) | Systems and methods for protecting a cloud storage against suspected malware | |
| US10944781B1 (en) | Systems and methods for identifying malicious domain names from a passive domain name system server log | |
| US9659176B1 (en) | Systems and methods for generating repair scripts that facilitate remediation of malware side-effects | |
| US11216559B1 (en) | Systems and methods for automatically recovering from malware attacks | |
| US10706167B1 (en) | Systems and methods for enforcing privacy in cloud security |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Norton weifuke Co. Address before: California, USA Applicant before: Symantec Corp. |
|
| CB02 | Change of applicant information |
Address after: California, USA Applicant after: Norton weifuke Co. Address before: California, USA Applicant before: Symantec Corp. |
|
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information | ||
| CB02 | Change of applicant information |
Address after: Arizona, USA Applicant after: Norton weifuke Co. Address before: California, USA Applicant before: Norton weifuke Co. |
|
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder | ||
| CP01 | Change in the name or title of a patent holder |
Address after: Arizona Patentee after: Keane Digital Co. Address before: Arizona Patentee before: Norton weifuke Co. |