CN108932428B - 一种勒索软件的处理方法、装置、设备及可读存储介质 - Google Patents
一种勒索软件的处理方法、装置、设备及可读存储介质 Download PDFInfo
- Publication number
- CN108932428B CN108932428B CN201710380338.8A CN201710380338A CN108932428B CN 108932428 B CN108932428 B CN 108932428B CN 201710380338 A CN201710380338 A CN 201710380338A CN 108932428 B CN108932428 B CN 108932428B
- Authority
- CN
- China
- Prior art keywords
- file
- source program
- puppet
- doc
- software
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/568—Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Abstract
本申请公开了一种勒索软件的处理方法,包括:通过文件过滤驱动程序监控源程序对文件的操作,并形成源程序对文件的操作文件日志;根据文件操作类型,从操作文件日志中过滤出与疑似加密操作对应的目标日志,文件操作类型包括疑似加密操作;当在监测周期中目标日志的数量超过第一数量阈值时,则确定源程序为勒索软件;对勒索软件进行处理。本申请实施例提供的勒索软件的处理方法,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
Description
技术领域
本申请涉及互联网技术领域,具体涉及一种勒索软件的处理方法、装置、设备及可读存储介质。
背景技术
随着互联网的快速发展,网络攻击也越来越多,网络攻击通常是黑客将带有攻击意图所编写的恶意程序传播到网络上,例如:植入到一些视频或者文件中,一旦用户点击了相应被植入恶意程序的视频或者文件,用户的终端就会被植入该恶意程序,从而导致该用户的终端中毒或者信息被窃取。
勒索软件是近年来增长迅速且危害巨大的网络安全威胁之一,是不法分子通过加密文件、锁屏等方式劫持用户文件等资产或资源,并以此敲诈用户钱财的一种恶意软件。不法分子通过发送邮件等网络钓鱼方式,向受害电脑或服务器植入敲诈病毒来加密硬盘上的文档甚至整个硬盘,随后向受害企业或者个人索要数额不等的赎金后才予以解密。
这几年勒索软件发展的非常快,而针对勒索软件的杀毒软件的特征检测方法更新滞后,往往导致对计算机设备中文件被加密在前,杀毒软件具备查杀能力在后,这样计算机设备中的文件存在很高被勒索病毒侵害的风险。
发明内容
本申请实施例提供一种勒索软件的处理方法,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险。本申请实施例还提供了相应的装置、设备及可读存储介质。
本申请第一方面提供一种勒索软件的处理方法,包括:
通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;
根据文件操作类型,从所述操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;
当在监测周期中所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;
对所述勒索软件进行处理。
本申请第二方面提供一种勒索软件的处理装置,包括:
监控程序模块,用于通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;
过滤程序模块,用于根据文件操作类型,从所述监控程序模块监控得到的操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;
确定程序模块,用于当在监测周期中所述过滤程序模块过滤得到的所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;
处理程序模块,用于对所述确定程序模块确定的所述勒索软件进行处理。
本申请第三方面提供一种计算机设备,包括:输入/输出(I/O)接口、处理器和存储器,所述存储器中存储有第一方面所述的勒索软件的处理的指令;
所述处理器用于执行存储器中存储的勒索软件的处理的指令,执行如第一方面所述的勒索软件的处理方法的步骤。
本申请的又一方面提供了一种计算机可读存储介质,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
本申请的又一方面提供了一种包含指令的计算机程序产品,当其在计算机上运行时,使得计算机执行上述第一方面所述的方法。
本申请实施例采用通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;根据文件操作类型,从所述操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;当在监测周期中所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;对所述勒索软件进行处理。与现有技术中勒索病毒通常对计算机设备中文件被加密在前,杀毒软件具备查杀能力在后,导致计算机设备中的文件存在很高被勒索病毒侵害的风险相比,本申请实施例提供的勒索软件的处理方法,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
附图说明
图1是被勒索病毒锁屏的一界面示意图;
图2是被勒索病毒加密的一界面示意图;
图3是本申请实施例中勒索软件的处理方法的一实施例示意图;
图4是本申请实施例中勒索软件的处理架构的一实施例示意图;
图5是本申请实施例中勒索软件的处理装置的一实施例示意图;
图6是本申请实施例中勒索软件的处理装置的另一实施例示意图;
图7是本申请实施例中计算机设备的一种形态的实施例示意图。
具体实施方式
下面结合附图,对本发明的实施例进行描述,显然,所描述的实施例仅仅是本发明一部分的实施例,而不是全部的实施例。本领域普通技术人员可知,随着计算机软件杀毒技术的发展,本发明实施例提供的技术方案对于类似的技术问题,同样适用。
本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的实施例能够以除了在这里图示或描述的内容以外的顺序实施。此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或模块的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或模块,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或模块,本申请中所出现的模块的划分,仅仅是一种逻辑上的划分,实际应用中实现时可以有另外的划分方式,例如多个模块可以结合成或集成在另一个系统中,或一些特征可以忽略,或不执行,另外,所显示的或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,模块之间的间接耦合或通信连接可以是电性或其他类似的形式,本申请中均不作限定。并且,作为分离部件说明的模块或子模块可以是也可以不是物理上的分离,可以是也可以不是物理模块,或者可以分布到多个电路模块中,可以根据实际的需要选择其中的部分或全部模块来实现本申请方案的目的。
本发明实施例提供一种勒索软件的处理方法,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险。本申请实施例还提供了相应的装置和设备。以下分别进行详细说明。
文件过滤驱动程序也可以称为文件系统过滤驱动(FSFD,file system filterdriver)。
文件系统过滤驱动:从应用上看,文件系统过滤驱动可以过滤一个或多个文件系统,或文件系统卷的I/O操作,按不同的种类划分,文件系统过滤驱动可以分为日志记录、系统监测、数据修改和事件预防几类,通常,以文件系统过滤驱动为核心的应用程序有文件加解密、病毒防护、进程控制、文件访问、事后审计和信息安全方面的应用。
源程序是一类总称,通常来说编程语言编出来的文件都可以称为源程序。
本申请实施例提供的勒索软件的处理方法可以应用于网络中任一可能被勒索软件侵害的计算机设备,该计算机设备可以是终端,也可以是服务器,若是终端可以是个人计算机(PC,personal computer)、手机、电话手表、笔记本电脑、平板电脑以及其他联网的终端设备。
勒索软件也可以称为勒索病毒,被勒索病毒侵害的计算机设备可能会被锁屏或者文件被加密,需要付费才能解密,如图1为被勒索病毒锁屏的界面示意图,图2为被勒索病毒加密的界面示意图。
如图1所示,若被勒索病毒锁屏,则在锁屏界面上会收到例如图1所示的界面通知,通知使用该手机的用户去联系发布勒索病毒的黑客,通常向黑客付款后,黑客会给手机解锁。
如图2所示,若电脑上的文件被勒索病毒加密后,则在电脑的界面上也会收到如图2所示的界面通知,通知用户该电脑上的文件都被加密,若不在规定时间像发布病毒的黑客付费,则文件会损坏,还会提示剩余时间。
若要避免被勒索软件侵害,计算机设备上就要能及时发现勒索软件,并对勒索软件进行处理。
本申请实施例提供一种勒索软件的处理方法,可以通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险。
图3是本申请实施例中一种勒索软件的处理方法的一实施例示意图。
如图3所示,本申请实施例提供的勒索软件的处理方法的一实施例包括:
101、通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志。
源程序对文件的操作可以包括新建、打开、修改、删除、读、写等操作,其中,写操作可以包括加密操作。
源程序对文件的操作,不限于一个文件,可以是对多个文件的操作。
操作文件日志是指源程序对文件的操作的记录。例如可以包括:
20170102023030,locky.exe,write,c:/tx.doc;
20170102023030,locky.exe,write,c:/sss.doc;
20170102023031,locky.exe,write,d:/sssdd.doc;
20170102023030,locky.exe,write,d:/sddddfss.doc;
20170102023030,locky.exe,write,d:/s1234.doc;
20170102023031,locky.exe,write,d:/4536.doc;
20170102023032,locky.exe,write,d:/4536.doc;
20170102023030,locky.exe,write,e:/test.doc;
20170102023030,locky.exe,write,d:/teds.doc;
20170102023035,locky.exe,write,f:/你好.doc;
20170102023030,locky.exe,del,c:/cccd.doc;
20170102023036,locky.exe,read,c:/4x.doc;
20170102023038,word.exe,write,c:/4x.doc;
20170102023039,word.exe,read,c:/4x.doc;
20170102023030,word.exe,del,c:/4x.doc。
102、根据文件操作类型,从所述操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作。
文件操作类型可以包括:新建、打开、读操作、写操作和删除操作等。
疑似加密操作通常为写操作。
若疑似加密操作为写操作,则从操作文件日志中过滤出写操作的日志,则目标日志就是写操作的日志。
依据步骤101的示例,过滤后的目标日志为:
20170102023030,locky.exe,write,c:/tx.doc;
20170102023030,locky.exe,write,c:/sss.doc;
20170102023031,locky.exe,write,d:/sssdd.doc;
20170102023030,locky.exe,write,d:/sddddfss.doc;
20170102023030,locky.exe,write,d:/s1234.doc;
20170102023031,locky.exe,write,d:/4536.doc;
20170102023032,locky.exe,write,d:/4536.doc;
20170102023030,locky.exe,write,e:/test.doc;
20170102023030,locky.exe,write,d:/teds.doc;
20170102023035,locky.exe,write,f:/你好.doc;
20170102023038,word.exe,write,c:/4x.doc。
103、当在监测周期中所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件。
监测周期的时长可以预先设置,也可以动态调整。
第一数量阈值也可以根据需求设置。
例如:监测周期设置为10秒,第一数量阈值设置为7。
若在监测周期中监测到目标日志的数量为8,因为8大于7,所以可以确定该源程序为勒索软件。
104、对所述勒索软件进行处理。
对勒索软件进行处理,也就是对该源程序进行处理,可以发出告警提示,为了避免勒索软件持续加密其他文件,可以立即结束该勒索软件的运行。
本申请实施例采用通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;根据文件操作类型,从所述操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;当在监测周期中所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;对所述勒索软件进行处理。与现有技术中勒索病毒通常对计算机设备中文件被加密在前,杀毒软件具备查杀能力在后,导致计算机设备中的文件存在很高被勒索病毒侵害的风险相比,本申请实施例提供的勒索软件的处理方法,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
可选地,本申请实施例提供的勒索软件的处理方法的另一实施例中,所述处理方法还可以包括:
当在所述监测周期中所述目标日志的数量超过第二数量阈值,且未超过所述第一数量阈值,则分析所述源程序对所述文件的操作行为,所述第二数量阈值小于所述第一数量阈值;
根据所述操作行为在目标位置建立傀儡文件,所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置,所述傀儡文件用于所述源文件优先加密。
本申请实施例中,傀儡文件就是为了避免源文件操作过多的计算机设备中的文件,为了尽量减少源程序是勒索软件时的损失,先建立多个傀儡文件,供源程序操作,若根据对傀儡文件的操作结果确定出该源程序是勒索软件,则结束该源程序,从而避免了源程序直接操作计算机设备中的文件所造成的损失,因为傀儡文件不是用户所建立的文件,对用户没有使用价值,即使傀儡文件被勒索软件加密,也不会对用户的文件资源造成损失。
第二数量阈值小于第一数量阈值,若第一数量阈值等于7,则第二数量阈值小于7,实际上第二数量阈值的取值可以是0,只要源程序启动运行,即创建多个傀儡文件,供源程序操作。
通常情况下第二阈值的数量不取0,因为被勒索软件攻击是小概率事件,计算机设备通常会运行较多的源程序,若要针对每个源程序都创建多个傀儡文件,难免会给计算机设备运行带来负担。
分析所述源程序对所述文件的操作行为通常可以为源程序操作文件的起始位置等行为特征。
可选地,本申请实施例提供的勒索软件的处理方法的另一实施例中,所述根据所述操作行为在目标位置建立傀儡文件,可以包括:
根据所述操作行为确定傀儡文件生成规则,所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式;
根据所述傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
本申请实施例中,分析勒索病毒操作文件的操作行为,依据操作行为设置傀儡文件生成规则,该傀儡文件生成规则中可以包括生成傀儡文件的位置、数量和格式等信息,如勒索病毒从根目录A开始对文件进行访问操作,则可以生成如下规则c:/a~g.doc,c:/1~7.doc,d:/a~g.doc。
根据傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
例如:根据c:/a~g.doc,c:/1~7.doc,d:/a~g.doc规则生成如下傀儡文件:
c:/a.doc;c:/b.doc;c:/c.doc;c:/d.doc;c:/e.doc;c:/f.doc;c:/g.doc;
c:/1.doc;c:/2.doc;c:/3.doc;c:/4.doc;c:/5.doc;c:/6.doc;c:/7.doc;
d:/a.doc;d:/b.doc;d:/c.doc;d:/d.doc;d:/e.doc;d:/f.doc;d:/g.doc。
可选地,本申请实施例提供的勒索软件的处理方法的另一实施例中,所述对所述勒索软件进行处理,可以包括:
输出第一报警提示信息,并触发结束所述源程序。
本申请实施例中,输出报警提示信息可以供安全人员或者用户查看报警原因,从而尽快处理并进行修复。
触发结束源程序,也就是触发结束勒索病毒,可以避免勒索病毒继续对计算机设备中的其他文件造成损害,从而提高了计算机设备的安全性。
可选地,本申请实施例提供的勒索软件的处理方法的另一实施例中,所述确定所述源程序为勒索软件之前,所述处理方法还可以包括:
当监测到所述源程序操作所述文件中的重要文件,则输出第二报警提示信息,所述重要文件为不允许被所述源程序加密的文件。
本申请实施例中,重要文件是指不是任何源程序都可以加密的文件,针对重要文件,若源程序没有位于白名单时,则该源程序不能加密该文件,若有非白名单中的源程序加密重要文件,则输出第二报警提示信息,以供用户或安全人员及时处理该源程序。
可选地,本申请实施例提供的勒索软件的处理方法的另一实施例中,所述确定所述源程序为勒索软件之前,所述处理方法还可以包括:
检查所述源程序是否在白名单中;
当所述源程序在所述白名单中,则确定所述源程序不是勒索软件。
本申请实施例中,若源程序在白名单中,则说明该源程序预先经过校验,是用户或者安全人员确认的安全程序,所以,即使该源程序操作文件的数量超过第一数量阈值,也可以确认该源程序不是勒索软件。
为了便于从整体上理解,本申请实施例提供一种勒索软件的处理架构。
如图4所示,本申请实施例提供的了算软件的处理架构包括:文件操作监控系统、傀儡文件生成系统、报警条件计算系统、止损系统和报警系统。
其中,文件操作监控系统包括文件操作监控模块和文件操作类型过滤模块。
文件操作监控模块利用文件过滤驱动技术记录源程序新建、打开、修改、删除等操作。
文件操作类型过滤模块用于根据需要过滤输出规定格式日志。
傀儡文件生成系统包括傀儡文件规则模块和傀儡文件生成模块。
傀儡文件规则模块用于根据源程序操作文件的行为生成傀儡文件生成规则。
傀儡文件生成模块用于依据傀儡文件生成规则在规则所指定的位置生成相应数量的会被源程序优先访问的傀儡文件。
报警条件计算系统包括阈值计算模块和重要文件触碰监控系统。
阈值计算模块用于配置第一数量阈值和/或第二数量阈值。
重要文件触碰监控系统用于统计文件操作日志,归并来源,当同一个源程序访问多个文件或特定文件被非规定进程访问则报警。
止损系统包括止损模块和白名单模块。
止损模块用于根据报警条件计算系统的操作进程数据对相应进程执行关闭操作,该处的进程指的是被确定为勒索软件的源程序。
白名单模块用于确定相应的进程数据是否在白名单中,若在白名单中,则确定该源程序不是勒索软件,不关闭相应源程序的进程。
报警系统包括报警模块和白名单模块。
报警模块用于在接收到报警详情,确定需要报警时,通过扬声器或者界面显示输出报警提示信息,供应急响应人员处理该报警异常。
该处的白名单模块用于确定产生报警的源程序是否在白名单中,若在白名单中,则确定该源程序不是勒索软件,不输出报警提示信息。
下面结合图4中的各系统以及系统中的模块对各模块的功能进行介绍:
1、文件操作监控系统记录程序对文件进行的疑似加密行为的日志:
基于文件过滤驱动技术的文件操作监控模块记录程序操作文件日志,如
20170102023030,locky.exe,write,c:/tx.doc;
20170102023030,locky.exe,write,c:/sss.doc;
20170102023031,locky.exe,write,d:/sssdd.doc;
20170102023030,locky.exe,write,d:/sddddfss.doc;
20170102023030,locky.exe,write,d:/s1234.doc;
20170102023031,locky.exe,write,d:/4536.doc;
20170102023032,locky.exe,write,d:/4536.doc;
20170102023030,locky.exe,write,e:/test.doc;
20170102023030,locky.exe,write,d:/teds.doc;
20170102023035,locky.exe,write,f:/你好.doc;
20170102023030,locky.exe,del,c:/cccd.doc;
20170102023036,locky.exe,read,c:/4x.doc;
20170102023038,word.exe,write,c:/4x.doc;
20170102023039,word.exe,read,c:/4x.doc;
20170102023030,word.exe,del,c:/4x.doc。
文件操作类型过滤模块过滤形成疑似加密操作的日志
20170102023030,locky.exe,write,c:/tx.doc;
20170102023030,locky.exe,write,c:/sss.doc;
20170102023031,locky.exe,write,d:/sssdd.doc;
20170102023030,locky.exe,write,d:/sddddfss.doc;
20170102023030,locky.exe,write,d:/s1234.doc;
20170102023031,locky.exe,write,d:/4536.doc;
20170102023032,locky.exe,write,d:/4536.doc;
20170102023030,locky.exe,write,e:/test.doc;
20170102023030,locky.exe,write,d:/teds.doc;
20170102023035,locky.exe,write,f:/你好.doc;
20170102023038,word.exe,write,c:/4x.doc。
经过上述过滤可以确定出疑似被执行加密操作的文件数量,然后可以与第一数量阈值执行比较的动作。
2、傀儡文件生成系统用于生成傀儡文件,傀儡文件用于被勒索病毒优先加密,从而减少用户文件被加密所造成的损失。
傀儡文件生成规则模块分析勒索病毒操作文件的行为,使用傀儡文件规则模块设置傀儡文件生成规则,如勒索病毒从根目录A开始的操作方法,则可以生成如下规则:
c:/a~g.doc;
c:/1~7.doc;
d:/a~g.doc。
傀儡文件生成模块根据傀儡文件生成规则生成傀儡文件,在各个磁盘根目录建立字母文件(默认),如下:
c:/a.doc;c:/b.doc;c:/c.doc;c:/d.doc;c:/e.doc;c:/f.doc;c:/g.doc;
c:/1.doc;c:/2.doc;c:/3.doc;c:/4.doc;c:/5.doc;c:/6.doc;c:/7.doc;
d:/a.doc;d:/b.doc;d:/c.doc;d:/d.doc;d:/e.doc;d:/f.doc;d:/g.doc。
如果阈值为7,若勒索病毒最开始遍历c:/a.doc;c:/b.doc;c:/c.doc;c:/d.doc;c:/e.doc;c:/f.doc;c:/g.doc;等7个傀儡文件,则就不会产生对用户文件的加密操作,可以确保用户文件损失为0。
当然,此处只是举例说明,傀儡文件生成规则可以有多个,形式也不限于例子中的形式,依据傀儡文件生成规则所生成傀儡文件的数量也可以更多。
3、报警条件计算系统产生报警&止损操作条件
阈值计算模块根据设置的第一数量阈值,例如第一数量阈值可以是7,在监测周期内,监测周期可以是10S,计算同一个源头进程对文件的操作,当条件达到则触发报警和止损操作,则向止损系统和报警系统发送该源程序的数据。
重要文件触碰监控系统,根据文件操作日志,当目标文件为重要文件时,如:目标文件为e:/test.doc,只要一次触发则产生报警和止损操作。
4、止损系统根据报警条件计算系统指令进行止损操作。
止损模块接收到止损指令,则执行针对源程序的进程的关闭操作,防止用户进一步受到损失。
如源程序在白名单内则不关闭进程,当重要文件被允许操作的进程打开如20170102023030,word.exe,write,e:/test.doc;其中word.exe为白名单,则不触发止损关闭操作。
报警系统:报警发给安全人员,安全人员分析确认,更改阈值或加白名单的操作。
以上是对勒索软件的处理方法的描述,下面结合附图,介绍本申请实施例中的勒索软件的处理装置。
如图5所示,本申请实施例提供的勒索软件的处理装置30的一实施例包括:
监控程序模块301,用于通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;
过滤程序模块302,用于根据文件操作类型,从所述监控程序模块301监控得到的操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;
确定程序模块303,用于当在监测周期中所述过滤程序模块302过滤得到的所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;
处理程序模块304,用于对所述确定程序模块303确定的所述勒索软件进行处理。
本申请实施例中,监控程序模块301通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;过滤程序模块302根据文件操作类型,从所述监控程序模块301监控得到的操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;确定程序模块303当在监测周期中所述过滤程序模块302过滤得到的所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;处理程序模块304对所述确定程序模块303确定的所述勒索软件进行处理。与现有技术中勒索病毒通常对计算机设备中文件被加密在前,杀毒软件具备查杀能力在后,导致计算机设备中的文件存在很高被勒索病毒侵害的风险相比,本申请实施例提供的勒索软件的处理装置,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
可选地,参阅图6,本申请实施例提供的勒索软件的处理装置30的另一实施例中,所述处理装置30还包括:建立程序模块305,
所述确定程序模块303,还用于当在所述监测周期中所述目标日志的数量超过第二数量阈值,且未超过所述第一数量阈值,则分析所述源程序对所述文件的操作行为,所述第二数量阈值小于所述第一数量阈值;
所述建立程序模块305,用于根据所述确定程序模块303分析的操作行为在目标位置建立傀儡文件,所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置,所述傀儡文件用于所述源文件优先加密。
本申请实施例中,傀儡文件就是为了避免源文件操作过多的计算机设备中的文件,为了尽量减少源程序是勒索软件时的损失,先建立多个傀儡文件,供源程序操作,若根据对傀儡文件的操作结果确定出该源程序是勒索软件,则结束该源程序,从而避免了源程序直接操作计算机设备中的文件所造成的损失,因为傀儡文件不是用户所建立的文件,对用户没有使用价值,即使傀儡文件被勒索软件加密,也不会对用户的文件资源造成损失。
第二数量阈值小于第一数量阈值,若第一数量阈值等于7,则第二数量阈值小于7,实际上第二数量阈值的取值可以是0,只要源程序启动运行,即创建多个傀儡文件,供源程序操作。
通常情况下第二阈值的数量不取0,因为被勒索软件攻击是小概率事件,计算机设备通常会运行较多的源程序,若要针对每个源程序都创建多个傀儡文件,难免会给计算机设备运行带来负担。
分析所述源程序对所述文件的操作行为通常可以为源程序操作文件的起始位置等行为特征。
可选地,本申请实施例提供的勒索软件的处理装置30的另一实施例中,
所述建立程序模块305用于:
根据所述操作行为确定傀儡文件生成规则,所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式;
根据所述傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
本申请实施例中,分析勒索病毒操作文件的操作行为,依据操作行为设置傀儡文件生成规则,该傀儡文件生成规则中可以包括生成傀儡文件的位置、数量和格式等信息,如勒索病毒从根目录A开始对文件进行访问操作,则可以生成如下规则c:/a~g.doc,c:/1~7.doc,d:/a~g.doc。
根据傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
例如:根据c:/a~g.doc,c:/1~7.doc,d:/a~g.doc规则生成如下傀儡文件:
c:/a.doc;c:/b.doc;c:/c.doc;c:/d.doc;c:/e.doc;c:/f.doc;c:/g.doc;
c:/1.doc;c:/2.doc;c:/3.doc;c:/4.doc;c:/5.doc;c:/6.doc;c:/7.doc;
d:/a.doc;d:/b.doc;d:/c.doc;d:/d.doc;d:/e.doc;d:/f.doc;d:/g.doc。
可选地,本申请实施例提供的勒索软件的处理装置30的另一实施例中,
所述处理程序模块304用于输出第一报警提示信息,并触发结束所述源程序。
本申请实施例中,输出报警提示信息可以供安全人员或者用户查看报警原因,从而尽快处理并进行修复。
触发结束源程序,也就是触发结束勒索病毒,可以避免勒索病毒继续对计算机设备中的其他文件造成损害,从而提高了计算机设备的安全性。
可选地,本申请实施例提供的勒索软件的处理装置30的另一实施例中,
所述处理程序模块304还用于当监测到所述源程序操作所述文件中的重要文件,则输出第二报警提示信息,所述重要文件为不允许被所述源程序加密的文件。
本申请实施例中,重要文件是指不是任何源程序都可以加密的文件,针对重要文件,若源程序没有位于白名单时,则该源程序不能加密该文件,若有非白名单中的源程序加密重要文件,则输出第二报警提示信息,以供用户或安全人员及时处理该源程序。
可选地,本申请实施例提供的勒索软件的处理装置30的另一实施例中,
所述确定程序模块303,还用于检查所述源程序是否在白名单中;当所述源程序在所述白名单中,则确定所述源程序不是勒索软件。
本申请实施例中,若源程序在白名单中,则说明该源程序预先经过校验,是用户或者安全人员确认的安全程序,所以,即使该源程序操作文件的数量超过第一数量阈值,也可以确认该源程序不是勒索软件。
以上,对勒索软件的处理装置30的描述可以参阅前述勒索软件的处理方法进行理解,本处不做过多重复赘述。
本申请实施例提供的计算机设备可以终端,也可以是服务器,终端可以是手机、平板电脑、PC等终端,下面以手机为例,介绍本申请实施例的勒索软件的处理的过程。
如图7所示,为了便于说明,仅示出了与本申请实施例相关的部分,具体技术细节未揭示的,请参照本申请实施例方法部分。
图7示出的是与本申请实施例提供的移动终端800的部分结构的框图。参考图7,移动终端包括:射频(英文全称:Radio Frequency,英文简称:RF)电路810、存储器820、输入单元830、显示单元840、传感器850、音频电路860、WiFi模块870、处理器880、以及电源890等部件。本领域技术人员可以理解,图7中示出的移动终端结构并不构成对移动终端的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
下面结合图7对移动终端的各个构成部件进行具体的介绍:
RF电路810可用于收发信息或通话过程中,信号的接收和发送,特别地,将基站的下行信息接收后,给处理器880处理;另外,将设计上行的数据发送给基站。通常,RF电路810包括但不限于天线、至少一个放大器、收发信机、耦合器、低噪声放大器(英文全称:LowNoise Amplifier,英文简称:LNA)、双工器等。此外,RF电路810还可以通过无线通信与网络和其他设备通信。上述无线通信可以使用任一通信标准或协议,包括但不限于全球移动通讯系统(英文全称:Global System of Mobile communication,英文简称:GSM)、通用分组无线服务(英文全称:General Packet Radio Service,英文简称:GPRS)、码分多址(英文全称:Code Division Multiple Access,英文简称:CDMA)、宽带码分多址(英文全称:Wideband Code Division Multiple Access,英文简称:WCDMA)、长期演进(英文全称:LongTerm Evolution,英文简称:LTE)、电子邮件、短消息服务(英文全称:Short MessagingService,英文简称:SMS)等。
存储器820可用于存储软件程序以及模块,处理器880通过运行存储在存储器820的软件程序以及模块,从而执行移动终端的各种功能应用以及数据处理。存储器820可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据移动终端的使用所创建的数据(比如音频数据、电话本等)等。此外,存储器820可以包括高速随机存取存储器,还可以包括非易失性存储器,例如至少一个磁盘存储器件、闪存器件、或其他易失性固态存储器件。
输入单元830可用于接收用户的操作指令,如:接听或者拒绝,以及产生与移动终端800的用户设置以及功能控制有关的键信号输入。具体地,输入单元830可包括触控面板831以及其他输入设备832。触控面板831,也称为触摸屏,可收集用户在其上或附近的触摸操作(比如用户使用手指、触笔等任何适合的物体或附件在触控面板831上或在触控面板831附近的操作),并根据预先设定的程式驱动相应的连接移动终端。可选的,触控面板831可包括触摸检测移动终端和触摸控制器两个部分。其中,触摸检测移动终端检测用户的触摸方位,并检测触摸操作带来的信号,将信号传送给触摸控制器;触摸控制器从触摸检测移动终端上接收触摸信息,并将它转换成触点坐标,再送给处理器880,并能接收处理器880发来的命令并加以执行。此外,可以采用电阻式、电容式、红外线以及表面声波等多种类型实现触控面板831。除了触控面板831,输入单元830还可以包括其他输入设备832。具体地,其他输入设备832可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆等中的一种或多种。
显示单元840可用于显示报警提示信息。显示单元840可包括指示灯841,可选的,可以采用液晶显示器(Liquid Crystal Display,LCD)、有机发光二极管(Organic Light-Emitting Diode,OLED)等形式来配置指示灯841。进一步的,触控面板831可覆盖指示灯841,当触控面板831检测到在其上或附近的触摸操作后,传送给处理器880以确定触摸事件的类型,随后处理器880根据触摸事件的类型在指示灯841上提供相应的视觉输出。虽然在图7中,触控面板831与指示灯841是作为两个独立的部件来实现移动终端的输入和输入功能,但是在某些实施例中,可以将触控面板831与指示灯841集成而实现移动终端的输入和输出功能。
移动终端800还可包括至少一种传感器850。
音频电路860、扬声器861,传声器862可提供用户与移动终端之间的音频接口。音频电路860可将接收到的音频数据转换后的电信号,传输到扬声器861,由扬声器861转换为声音信号输出;另一方面,传声器862将收集的声音信号转换为电信号,由音频电路860接收后转换为音频数据,再将音频数据输出处理器880处理后,经摄像头810以发送给比如另一移动终端,或者将音频数据输出至存储器820以便进一步处理。
WiFi模块870可以用于通信。
处理器880是移动终端的控制中心,利用各种接口和线路连接整个移动终端的各个部分,通过运行或执行存储在存储器820内的软件程序和/或模块,以及调用存储在存储器820内的数据,执行移动终端的各种功能和处理数据,从而对移动终端进行整体监控。可选的,处理器880可包括一个或多个处理单元;优选的,处理器880可集成应用处理器和调制解调处理器,其中,应用处理器主要处理操作系统、用户界面和应用程序等,调制解调处理器主要处理无线通信。可以理解的是,上述调制解调处理器也可以不集成到处理器880中。
移动终端800还包括给各个部件供电的电源890(比如电池),优选的,电源可以通过电源管理系统与处理器880逻辑相连,从而通过电源管理系统实现管理充电、放电、以及功耗管理等功能。
尽管未示出,移动终端800还可以包括射频(Radio Frequency,RF)电路、蓝牙模块等,在此不再赘述。
在本申请实施例中,该终端在勒索软件处理时所包括的处理器880还具有以下功能:
通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;
根据文件操作类型,从所述操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;
当在监测周期中所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;
对所述勒索软件进行处理。
与现有技术中勒索病毒通常对计算机设备中文件被加密在前,杀毒软件具备查杀能力在后,导致计算机设备中的文件存在很高被勒索病毒侵害的风险相比,本申请实施例提供的终端,通过监控源程序对计算机设备中各文件的操作,及时发现勒索软件,并对勒索软件进行处理,从而降低了计算机设备被勒索病毒侵害的风险,提高了计算机设备的安全性。
可选地,所述处理方法还包括:
当在所述监测周期中所述目标日志的数量超过第二数量阈值,且未超过所述第一数量阈值,则分析所述源程序对所述文件的操作行为,所述第二数量阈值小于所述第一数量阈值;
根据所述操作行为在目标位置建立傀儡文件,所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置,所述傀儡文件用于所述源文件优先加密。
可选地,所述根据所述操作行为在目标位置建立傀儡文件,可以包括:
根据所述操作行为确定傀儡文件生成规则,所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式;
根据所述傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
可选地,所述对所述勒索软件进行处理,包括:
输出第一报警提示信息,并触发结束所述源程序。
可选地,所述确定所述源程序为勒索软件之前,所述处理方法还包括:
当监测到所述源程序操作所述文件中的重要文件,则输出第二报警提示信息,所述重要文件为不允许被所述源程序加密的文件。
可选地,所述确定所述源程序为勒索软件之前,所述处理方法还包括:
检查所述源程序是否在白名单中;
当所述源程序在所述白名单中,则确定所述源程序不是勒索软件。
在上述实施例中,可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时,可以全部或部分地以计算机程序产品的形式实现。
所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时,全部或部分地产生按照本发明实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中,或者从一个计算机可读存储介质向另一计算机可读存储介质传输,例如,所述计算机指令可以从一个网站站点、计算机、服务器或数据中心通过有线(例如同轴电缆、光纤、数字用户线(DSL))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、服务器或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
本领域普通技术人员可以理解上述实施例的各种方法中的全部或部分步骤是可以通过程序来指令相关的硬件来完成,该程序可以存储于一计算机可读存储介质中,存储介质可以包括:ROM、RAM、磁盘或光盘等。
以上对本发明实施例所提供的勒索软件的处理方法、装置、设备及可读存储介质进行了详细介绍,本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想;同时,对于本领域的一般技术人员,依据本发明的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本发明的限制。
Claims (9)
1.一种勒索软件的处理方法,其特征在于,包括:
通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;
根据文件操作类型,从所述操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;
当在监测周期中所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;
对所述勒索软件进行处理;
当在所述监测周期中所述目标日志的数量超过第二数量阈值,且未超过所述第一数量阈值,则分析所述源程序对所述文件的操作行为,所述第二数量阈值小于所述第一数量阈值;
根据所述操作行为在目标位置建立傀儡文件,所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置,所述傀儡文件用于源文件优先加密。
2.根据权利要求1所述的处理方法,其特征在于,所述根据所述操作行为在目标位置建立傀儡文件,包括:
根据所述操作行为确定傀儡文件生成规则,所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式;
根据所述傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
3.根据权利要求1-2任一所述的处理方法,其特征在于,所述对所述勒索软件进行处理,包括:
输出第一报警提示信息,并触发结束所述源程序。
4.根据权利要求1-2任一所述的处理方法,其特征在于,所述确定所述源程序为勒索软件之前,所述处理方法还包括:
当监测到所述源程序操作所述文件中的重要文件,则输出第二报警提示信息,所述重要文件为不允许被所述源程序加密的文件。
5.根据权利要求1-2任一所述的处理方法,其特征在于,所述确定所述源程序为勒索软件之前,所述处理方法还包括:
检查所述源程序是否在白名单中;
当所述源程序在所述白名单中,则确定所述源程序不是勒索软件。
6.一种勒索软件的处理装置,其特征在于,包括:
监控程序模块,用于通过文件过滤驱动程序监控源程序对文件的操作,并形成所述源程序对所述文件的操作文件日志;
过滤程序模块,用于根据文件操作类型,从所述监控程序模块监控得到的操作文件日志中过滤出与疑似加密操作对应的目标日志,所述文件操作类型包括疑似加密操作;
确定程序模块,用于当在监测周期中所述过滤程序模块过滤得到的所述目标日志的数量超过第一数量阈值时,则确定所述源程序为勒索软件;
处理程序模块,用于对所述确定程序模块确定的所述勒索软件进行处理;
所述确定程序模块,还用于当在所述监测周期中所述目标日志的数量超过第二数量阈值,且未超过所述第一数量阈值,则分析所述源程序对所述文件的操作行为,所述第二数量阈值小于所述第一数量阈值;
建立程序模块,用于根据所述确定程序模块分析的操作行为在目标位置建立傀儡文件,所述目标位置为所述源程序在操作完当前文件后要访问的下一个位置,所述傀儡文件用于源文件优先加密。
7.根据权利要求6所述的处理装置,其特征在于,
所述建立程序模块用于:
根据所述操作行为确定傀儡文件生成规则,所述傀儡文件生成规则包括生成傀儡文件的位置、数量和格式;
根据所述傀儡文件生成规则,在所述目标位置按照所述格式生成相应数量的傀儡文件。
8.一种计算机设备,其特征在于,包括:输入/输出(I/O)接口、处理器和存储器,所述存储器中存储有权利要求1-5任一所述的勒索软件的处理方法 的指令;
所述处理器用于执行存储器中存储的勒索软件的处理的指令,执行如权利要求1-5任一所述的勒索软件的处理方法的步骤。
9.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有指令,当其在计算机上运行时,使得计算机执行上述权利要求1-5任一所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710380338.8A CN108932428B (zh) | 2017-05-25 | 2017-05-25 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710380338.8A CN108932428B (zh) | 2017-05-25 | 2017-05-25 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108932428A CN108932428A (zh) | 2018-12-04 |
CN108932428B true CN108932428B (zh) | 2022-11-11 |
Family
ID=64450189
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710380338.8A Active CN108932428B (zh) | 2017-05-25 | 2017-05-25 | 一种勒索软件的处理方法、装置、设备及可读存储介质 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108932428B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111444503B (zh) * | 2020-03-25 | 2023-11-07 | 深信服科技股份有限公司 | 一种检测勒索病毒的方法、装置、系统和介质 |
CN111414623B (zh) * | 2020-03-30 | 2023-06-02 | 四川效率源信息安全技术股份有限公司 | 一种针对GandCrab勒索病毒加密文件后的解密方法 |
CN111600893B (zh) * | 2020-05-19 | 2022-09-02 | 山石网科通信技术股份有限公司 | 勒索软件的防御方法、装置、存储介质、处理器和主机 |
CN112861133A (zh) * | 2021-02-19 | 2021-05-28 | 智巡密码(上海)检测技术有限公司 | 基于随机性阈值的勒索软件判定检测方法 |
CN115189944A (zh) * | 2022-07-08 | 2022-10-14 | 山石网科通信技术股份有限公司 | 勒索病毒拦截方法、装置、电子设备及存储介质 |
CN115221524B (zh) * | 2022-09-20 | 2023-01-03 | 深圳市科力锐科技有限公司 | 业务数据保护方法、装置、设备及存储介质 |
CN117077219A (zh) * | 2023-10-17 | 2023-11-17 | 西安热工研究院有限公司 | 操作系统完整性保护方法、系统、设备及存储介质 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
CN106484570A (zh) * | 2016-10-28 | 2017-03-08 | 福建平实科技有限公司 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7257714B1 (en) * | 1999-10-19 | 2007-08-14 | Super Talent Electronics, Inc. | Electronic data storage medium with fingerprint verification capability |
CN103377332B (zh) * | 2012-04-26 | 2016-04-20 | 腾讯科技(深圳)有限公司 | 访问应用程序的方法及装置 |
CN103856524A (zh) * | 2012-12-04 | 2014-06-11 | 中山大学深圳研究院 | 基于用户代理的白名单识别合法内容的方法和系统 |
CN105653949B (zh) * | 2014-11-17 | 2019-06-21 | 华为技术有限公司 | 一种恶意程序检测方法及装置 |
EP3038003B1 (en) * | 2014-12-22 | 2020-08-19 | Alcatel Lucent | Method for protection against ransomware |
CN106101079A (zh) * | 2016-05-31 | 2016-11-09 | 努比亚技术有限公司 | 一种实现签名加密的方法和系统 |
CN106548070A (zh) * | 2016-07-18 | 2017-03-29 | 北京安天电子设备有限公司 | 一种在待机时间防御勒索者病毒的方法及系统 |
-
2017
- 2017-05-25 CN CN201710380338.8A patent/CN108932428B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
CN106484570A (zh) * | 2016-10-28 | 2017-03-08 | 福建平实科技有限公司 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
CN106611123A (zh) * | 2016-12-02 | 2017-05-03 | 哈尔滨安天科技股份有限公司 | 一种勒索者病毒的检测方法及系统 |
Also Published As
Publication number | Publication date |
---|---|
CN108932428A (zh) | 2018-12-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108932428B (zh) | 一种勒索软件的处理方法、装置、设备及可读存储介质 | |
US11095669B2 (en) | Forensic analysis of computing activity | |
US10503904B1 (en) | Ransomware detection and mitigation | |
US11853414B2 (en) | Mitigation of return-oriented programming attacks | |
EP3502943B1 (en) | Method and system for generating cognitive security intelligence for detecting and preventing malwares | |
US10235524B2 (en) | Methods and apparatus for identifying and removing malicious applications | |
CN103891242B (zh) | 用于移动环境中输出信息的基于简档的过滤的系统和方法 | |
US20140380478A1 (en) | User centric fraud detection | |
TW201717088A (zh) | 動態蜜罐系統 | |
CN107133498B (zh) | 一种隐私应用管理方法和装置及移动终端 | |
US9781143B1 (en) | Systems and methods for detecting near field communication risks | |
KR101266037B1 (ko) | 휴대단말에서 악성행위 처리 방법 및 장치 | |
JP2017539039A (ja) | 悪意のあるコードの検出のためのシステムおよび方法 | |
Zaidi et al. | A survey on security for smartphone device | |
US11290469B2 (en) | Methods and apparatus to detect and prevent host firewall bypass threats through a data link layer | |
US11256802B1 (en) | Application behavioral fingerprints | |
US20210194915A1 (en) | Identification of potential network vulnerability and security responses in light of real-time network risk assessment | |
CN107347059B (zh) | 一种漏洞检测的方法及检测终端 | |
CN106874795B (zh) | 一种移动终端的防拆机方法、装置及移动终端 | |
WO2014198118A1 (en) | Method and device for protecting privacy information with browser | |
US20140366156A1 (en) | Method and device for protecting privacy information with browser | |
US20230009963A1 (en) | System and method for application tamper discovery | |
CN113672925B (zh) | 阻止勒索软件攻击的方法、装置、存储介质及电子设备 | |
Olzak | Keystroke logging (keylogging) | |
CN115378686A (zh) | 一种工控网络的沙盒应用方法、装置及存储介质 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |