CN109145604A - 一种勒索软件智能检测方法及系统 - Google Patents
一种勒索软件智能检测方法及系统 Download PDFInfo
- Publication number
- CN109145604A CN109145604A CN201810956099.0A CN201810956099A CN109145604A CN 109145604 A CN109145604 A CN 109145604A CN 201810956099 A CN201810956099 A CN 201810956099A CN 109145604 A CN109145604 A CN 109145604A
- Authority
- CN
- China
- Prior art keywords
- file
- newly
- increased
- increased file
- write operation
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/563—Static detection by source code analysis
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开了一种勒索软件智能检测方法及系统,包括:检测新增文件的标识特征与静态特征库的静态特征的匹配性;检测新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性;检测所述新增文件对诱捕文件是否有写入操作行为;如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原;如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。本发明能够尽最大可能的检测出未知的勒索软件,并在勒索软件通过层层关卡获得执行的情况下精准备份被加密的文件,之后通过还原系统挽回损失。
Description
技术领域
本发明属于计算机安全技术领域,尤其涉及一种勒索软件智能检测方法及系统。
背景技术
勒索软件,又称勒索病毒,是一种特殊的恶意软件,又被人类归为“阻断访问式攻击”(denial-of-access attack),其与其他病毒最大的不同在于手法以及中毒方式。其中一种勒索软件仅是单纯地将受害者的计算机锁起来,而另一种则系统性地加密受害者硬盘上的文件。所有的勒索软件都会要求受害者缴纳赎金以取回对计算机的控制权,或是取回受害者根本无从自行获取的解密密钥以便解密档案。勒索软件通常通过木马病毒的形式传播,将自身掩盖为看似无害的文件,通常会通过假冒成普通的电子邮件等社会工程学方法欺骗受害者点击链接下载,但也有可能与许多其他蠕虫病毒一样利用软件的漏洞在联网的计算机间传播。典型的例子有Reveton、CryptoLocker、CryptoLocker.F、TorrentLocker、CryptoWall、KeRanger、RSA4096、Mischa、WannaCry、Petya、BadRabbit,这些勒索软件的爆发造成了难以估量的社会财产损失。
所以面对传统的杀毒软件对勒索软件的检测疲惫,急需研究出一套新的解决方案。
发明内容
本发明的目的在于提供一种勒索软件智能检测方法及系统,用于解决现有杀毒软件对勒索软件的的检测疲惫的技术问题。
为实现上述目的,本发明实施例的技术方案为:
本发明实施例提供了一种勒索软件智能检测方法,包括:检测新增文件的标识特征与静态特征库的静态特征的匹配性;检测所述新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性;检测所述新增文件对诱捕文件是否有写入操作行为;如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原;如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。
优选地,所述检测新增文件的标识特征与静态特征库的对应标识特征的匹配性,包括:加载至少一种静态特征库,所述静态特征库中包含相应的检测点、对应标识特征以及检测结果;提取所述新增文件中的标识特征,若所述新增文件中的标识特征与所述静态特征库中包含的所述对应标识特征匹配一致,则判定所述新增文件中包含恶意代码,并定性为恶意新增文件并对所述恶意新增文件进行拦截;若所述新增文件中的标识特征与所述静态特征库中包含的所述对应标识特征匹配不一致,则继续下一类静态特征库加载,直到所述新增文件中的标识特征检测结束。
优选地,所述静态特征库根据最新的勒索事件情报及样本进行更新。
优选地,所述检测新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性,包括:监控所述新增文件的事件行为,将所述新增文件的事件行为与告警策略中的动态行为进行逐一比对,并判断所述新增文件的事件行为是否包含在内;若所述新增文件的事件行为包含在内,将所述新增文件的事件行为与动态行为策略库中的恶意行为进行匹配;若所述新增文件的事件行为与动态行为策略库中的恶意行为相匹配,则判定所述新增文件的事件行为中包含恶意行为;对恶意行为中的恶意事件进行拦截。
优选地,所述动态行为策略库根据勒索病毒的变化而更新完善。
优选地,所述检测所述新增文件对诱捕文件是否有写入操作行为,包括:创建陷阱文件夹;在所述陷阱文件夹内创建并设置陷阱文件扩展类型;实时监控所述陷阱文件夹内的诱捕文件中是否有写入操作;若监测到所述陷阱文件夹内的诱捕文件有所述写入操作行为,则记录所述新增文件的所有操作行为。
优选地,所述进行文件备份及完成数据还原,包括:启用文件备份系统,对所述写入操作行为的所有文件、注册表、系统配置进行备份;建立备份的还原点,对所有所述写入操作行为进行日志记录;通过所述还原点及日志,自由配置需要还原的数据,通过所述还原点进行数据恢复。
优选地,所述通过还原点进行数据恢复,包括:选择一个还原事件节点;展开所述还原事件节点内文件及相关备份列表名单;选取部分或全部所述还原事件节点内文件及相关备份列表名单进行还原任务配置;确认还原任务并恢复相关数据。
优选地,所述通过多引擎检测对所述新增文件进行扫描,包括:
镜像拷贝新增文件副本;将所述新增文件副本传入多引擎检测进行扫描;若多引擎检测检测出所述新增文件具有恶意属性,则判定所述新增文件具有恶意代码;若多引擎检测未检测出新增文件具备恶意属性,则判定该新增文件暂为安全。
本发明公开的实施例的另外一方面,提供了一种勒索软件智能检测系统,包括:静态特征检测模块,用于检测新增文件的标识特征与静态特征库的静态特征的匹配性;动态行为检测模块,用于检测新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性;写入操作行为检测模块,用于检测所述新增文件对诱捕文件是否有写入操作行为;监控模块,用于如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原;扫描模块,用于如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。
本发明具有如下优点:
本发明提供一种勒索软件智能检测方法及系统,能够尽最大可能的检测出未知的勒索软件,并在勒索软件通过层层关卡获得执行的情况下精准备份被加密的文件,之后通过还原系统挽回损失。
附图说明
图1为本发明实施例公开的一种勒索软件智能检测方法流程示意图;
图2为本发明公开的一种实施例的一种勒索软件智能检测方法流程示意图;
图3为本发明实施例公开的一种勒索软件智能检测系统结构图。
具体实施方式
以下实施例用于说明本发明,但不用来限制本发明的范围。
实施例1
以下以具体的实施例详细说明本发明实施例的技术方案,如图1所示,图1为本发明实施例公开的一种勒索软件智能检测方法流程示意图;
步骤S01,检测新增文件的标识特征与静态特征库的静态特征的匹配性。
在步骤S01中,建立包含已知勒索病毒的监测点、标识特征以及检测结果的静态特征库,通过加载至少一种静态特征库,静态特征库根据最新的勒索事件情报及样本保持更新。
通过提取新增文件中的标识特征,包括文件哈希、运行平台、编译时间戳、入口点、PE段信息、导入表信息、导出表信息等,若出现的标识特征与静态特征库中所包含的特征匹配一致,则判定新增文件中包含恶意代码,并定性为恶意文件;对新增文件的恶意文件进行拦截。
特征匹配算法精确匹配特征库,若出现的标识特征与静态特征库中所包含的特征匹配失败,则继续下一种静态特征库加载,并进行上述步骤的轮循操作,直至静态特征检测结束。
步骤S02,检测新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性。
建立进程行为监控系统,在整个系统巨大的事件量情况下保持稳定可靠;监控系统监控范围包括网络操作、文件操作、注册表操作、进程操作;监控系统以进程为单位进行事件过滤,规则链式组合,更准确的反应出勒索行为的特征,减少告警数量以及误报。
检测是否有事件行为产生;若检测到有事件行为产生,则将检测到的事件行为与动态行为告警策略中的行为指标进行逐一比对,并判断该事件行为是否包含在列;若检测到该事件行为包含在列,将此行为与预先存储的动态行为策略库中的恶意行为进行匹配;若事件行为与动态行为策略库中的恶意行为相匹配,则判定此事件中包含恶意行为,并定性该事件为恶意事件;对恶意行为中的恶意事件进行拦截。
步骤S03,检测所述新增文件对诱捕文件是否有写入操作行为。
在系统盘根目录中创建诱捕陷阱文件夹,在诱捕陷阱文件夹内创建并设置陷阱文件扩展类型为勒索软件常关注的文件类型包括:文档类文件、视频类文件、音频类文件、图片类文件等,文件扩展类型包括但不限于以下类型:
.doc,.docx,.xls,.xlsx,.ppt,.pptx,.pst,.ost,.msg,.eml,.vsd,.vsdx,.txt,.csv,.rtf,.123,.wks,.wk1,.pdf,.dwg,.onetoc2,.snt,.jpeg,.jpg,.docb,.docm,.dot,.dotm,.dotx,.xlsm,.xlsb,.xlw,.xlt,.xlm,.xlc,.xltx,.xltm,.pptm,.pot,.pps,.ppsm,.ppsx,.ppam,.potx,.potm,.edb,.hwp,.602,.sxi,.sti,.sldx,.sldm,.sldm,.vdi,.vmdk,.vmx,.gpg,.aes,.ARC,.PAQ,.bz2,.tbk,.bak,.tar,.tgz,.gz,.7z,.rar,.zip,.backup,.iso,.vcd,.bmp,.png,.gif,.raw,.cgm,.tif,.tiff,.nef,.psd,.ai,.svg,.djvu,.m4u,.m3u,.mid,.wma,.flv,.3g2,.mkv,.3gp,.mp4,.mov,.avi,.asf,.mpeg,.vob,.mpg,.wmv,.fla,.swf,.wav,.mp3,.sh,.class,.jar,.java,.rb,.asp,.php,.jsp,.brd,.sch,.dch,.dip,.pl,.vb,.vbs,.ps1,.bat,.cmd,.js,.asm,.h,.pas,.cpp,.c,.cs,.suo,.sln,.ldf,.mdf,.ibd,.myi,.myd,.frm,.odb,.dbf,.db,.mdb,.accdb,.sql,.sqlitedb,.sqlite3,.asc,.lay6,.lay,.mml,.sxm,.otg,.odg,.uop,.std,.sxd,.otp,.odp,.wb2,.slk,.dif,.stc,.sxc,.ots,.ods,.3dm,.max,.3ds,.uot,.stw,.sxw,.ott,.odt,.pem,.p12,.csr,.crt,.key,.pfx,.der。
设置诱捕陷阱文件夹及诱捕文件属性为非用户可见隐藏属性,以避免普通用户的误操作;诱捕文件与普通文件高度像似,避免勒索软件通过检测文件的特征来识别诱捕文件从而进行规避检测;实时监控诱捕陷阱文件夹内的诱捕文件的写入操作;若监测到诱捕陷阱文件夹内的诱捕文件有写入的操作,则记录该新增文件的所有操作行为,实时写操作监控包括关键的API进行Hook。
步骤S04,如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原。
启用文件备份系统,备份新增文件所有的操作的文件、注册表、系统配置等,直至新增文件进程退出;创建事件备份记录精细还原点。
通过精细还原点进行数据恢复,可包括以下步骤:
择一个还原事件节点;展开还原事件节点内文件及其他相关分类备份数据列表名单;部分选取或全部选取进行还原任务配置;确认还原任务还原相关数据;重新启动计算机系统,以确保系统正常运行。
在监测到诱捕文件被进行了写操作之后,立即对对应进程进行全过程监控,监控进行的所有行为;
同时启用文件备份系统,对监控进程操作的所有文件、注册表、系统配置进行备份;同时建立备份还原点,对所有操作进行日志记录;通过备份还原点及日志记录,自由配置需要还原的数据。
步骤S05,如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。
镜像拷贝新增文件副本,将新增文件副本传入多引擎检测扫描,若多引擎检测检测出新增文件结果具备恶意属性,则判定该文件具有恶意代码;若多引擎检测未检测出新增文件具备恶意属性,则判定该新增文件暂为安全,放行其操作。
本发明实施例公开的技术方案能够尽最大可能的检测出未知的勒索软件,并在勒索软件通过层层关卡获得执行的情况下精准备份被加密的文件,之后通过还原系统挽回损失。
实施例2
如图2所示,图2为本发明公开的一种实施例的一种勒索软件智能检测方法流程示意图;
具体的流程如下:
首先通过静态特征检测,检测新增文件的静态特征判定,静态特征判定步骤如下:
通过加载至少一种静态特征库,所述静态特征库中包含相应的检测点、对应标识特征以及检测结果;通过提取新增文件中的标识特征,若出现特征与特征库中所包含的特征匹配一致,则判定新增文件中包含恶意代码,并定性为恶意文件;对新增文件的恶意文件进行拦截;若匹配失败,则继续下一种静态特征库加载,并轮循上述操作,直至静态特征检测结束,如果静态特征检测中在静态特征数据库中没有匹配的对应的标识特征,则对新增文件进行动态行为判定。
静态特征判定结束后通过动态行为判定,可包括以下步骤:
检测是否有事件行为产生;若检测到有事件行为产生,则将检测到的事件行为与动态行为告警策略中的行为指标进行逐一比对,并判断该事件行为是否包含在列;若检测到该事件行为包含在列,将此行为与预先存储的动态行为策略库中的恶意行为进行匹配;若事件行为与动态行为策略库中的恶意行为相匹配,则判定此事件中包含恶意行为,并定性该事件为恶意事件;对恶意行为中的恶意事件进行拦截。
如果若事件行为与动态行为策略库中的恶意行为不匹配,通过监控诱捕陷阱文件操作进行判定,可包括以下步骤:
在系统盘根目录中创建诱捕陷阱文件夹;在诱捕陷阱文件夹内创建并设置陷阱文件扩展类型为勒索软件常关注的文件类型包括:文档类文件、视频类文件、音频类文件、图片类文件等。
实时监控诱捕陷阱文件夹内的诱捕文件的写入操作行为;若监测到诱捕陷阱文件夹内的诱捕文件有写入操作行为,则记录该新增文件的所有操作行为。
若无写操作行为,通过多引擎检测判定,可包括以下步骤:
镜像拷贝新增文件副本;将新增文件副本传入多引擎检测扫描;
若多引擎检测检测出新增文件结果具备恶意属性,则判定该文件具有恶意代码;若多引擎检测未检测出新增文件具备恶意属性,则判定该新增文件暂为安全,放行其操作。
如果有操作行为,启用文件备份系统,备份新增文件所有的操作的文件、注册表、系统配置等,直至新增文件进程退出;创建事件备份记录精细还原点;通过精细还原点进行数据恢复,可包括以下步骤:
选择一个还原事件节点;展开还原事件节点内文件及其他相关分类备份数据列表名单;部分选取或全部选取进行还原任务配置;确认还原任务还原相关数据;重新启动计算机系统,以确保系统正常运行。
本发明实施例公开的技术方案,本发明实施例公开的技术方案能够尽最大可能的检测出未知的勒索软件,并在勒索软件通过层层关卡获得执行的情况下精准备份被加密的文件,之后通过还原系统挽回损失。
实施例3
如图3所示,图3为本发明实施例公开的一种勒索软件智能检测系统结构图。
本发明实施例公开了一种勒索软件智能检测系统,包括:
静态特征检测模块01,用于检测新增文件的标识特征与静态特征库的静态特征的匹配性;
动态行为检测模02,用于检测新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性;
写入操作行为检测模块03,用于检测所述新增文件对诱捕文件是否有写入操作行为;
监控模块04,用于如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原;
扫描模块05,用于如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。
虽然,上文中已经用一般性说明及具体实施例对本发明作了详尽的描述,但在本发明基础上,可以对之作一些修改或改进,这对本领域技术人员而言是显而易见的。因此,在不偏离本发明精神的基础上所做的这些修改或改进,均属于本发明要求保护的范围。
Claims (10)
1.一种勒索软件智能检测方法,其特征在于,包括:
检测新增文件的标识特征与静态特征库的静态特征的匹配性;
检测所述新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性;
检测所述新增文件对诱捕文件是否有写入操作行为;
如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原;
如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。
2.如权利要求1所述的一种勒索软件智能检测方法,其特征在于:所述检测新增文件的标识特征与静态特征库的静态特征的匹配性,包括:
加载至少一种静态特征库,所述静态特征库中包含相应的检测点、对应标识特征以及检测结果;
提取所述新增文件中的标识特征,若所述新增文件中的标识特征与所述静态特征库中包含的所述对应标识特征匹配一致,则判定所述新增文件中包含恶意代码,并定性为恶意新增文件并对所述恶意新增文件进行拦截;
若所述新增文件中的标识特征与所述静态特征库中包含的所述对应标识特征匹配不一致,则继续下一类静态特征库加载,直到所述新增文件中的标识特征检测结束。
3.如权利要求2所述的一种勒索软件智能检测方法,其特征在于:所述静态特征库根据最新的勒索事件情报及样本进行更新。
4.如权利要求1所述的一种勒索软件智能检测方法,其特征在于:所述检测所述新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性,包括:
监控所述新增文件的事件行为,将所述新增文件的事件行为与告警策略中的动态行为进行逐一比对,并判断所述新增文件的事件行为是否包含在内;
若所述新增文件的事件行为包含在内,将所述新增文件的事件行为与动态行为策略库中的恶意行为进行匹配;
若所述新增文件的事件行为与动态行为策略库中的恶意行为相匹配,则判定所述新增文件的事件行为中包含恶意行为;
对恶意行为中的恶意事件进行拦截。
5.如权利要求1所述的一种勒索软件智能检测方法,其特征在于:所述动态行为策略库根据勒索病毒的变化而更新完善。
6.如权利要求1所述的一种勒索软件智能检测方法,其特征在于:所述检测所述新增文件对诱捕文件是否有写入操作行为,包括:
创建陷阱文件夹;
在所述陷阱文件夹内创建并设置陷阱文件扩展类型;
实时监控所述陷阱文件夹内的诱捕文件中是否有写入操作行为;
若监测到所述陷阱文件夹内的诱捕文件有写入操作行为,则记录所述新增文件的所有操作行为。
7.如权利要求1所述的一种勒索软件智能检测方法,其特征在于:所述进行文件备份及完成数据还原,包括:
启用文件备份系统,对所述写入操作行为的所有文件、注册表、系统配置进行备份;
建立备份的还原点,对所有所述写入操作行为进行日志记录;
通过所述还原点及日志,自由配置需要还原的数据,通过所述还原点进行数据恢复。
8.如权利要求7所述的一种勒索软件智能检测方法,其特征在于:所述通过所述还原点进行数据恢复,包括:
选择一个还原事件节点;
展开所述还原事件节点内文件及相关备份列表名单;
选取部分或全部所述还原事件节点内文件及相关备份列表名单进行还原任务配置;
确认还原任务并恢复相关数据。
9.如权利要求1所述的一种勒索软件智能检测方法,其特征在于:所述通过多引擎检测对所述新增文件进行扫描,包括:
镜像拷贝新增文件副本;
将所述新增文件副本传入多引擎检测进行扫描;
若多引擎检测检测出所述新增文件具有恶意属性,则判定所述新增文件具有恶意代码;
若多引擎检测未检测出新增文件具备恶意属性,则判定该新增文件暂为安全。
10.一种勒索软件智能检测系统,其特征在于,包括:
静态特征检测模块,用于检测新增文件的标识特征与静态特征库的静态特征的匹配性;
动态行为检测模块,用于检测所述新增文件的动态行为与预先存储的动态行为策略库中的恶意行为的匹配性;
写入操作行为检测模块,用于检测所述新增文件对诱捕文件是否有写入操作行为;
监控模块,用于如果有写入操作行为,则对所述新增文件进行全过程监控,并进行文件备份及完成数据还原;
扫描模块,用于如果无写入操作行为,则通过多引擎检测对所述新增文件进行扫描。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810956099.0A CN109145604A (zh) | 2018-08-21 | 2018-08-21 | 一种勒索软件智能检测方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201810956099.0A CN109145604A (zh) | 2018-08-21 | 2018-08-21 | 一种勒索软件智能检测方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN109145604A true CN109145604A (zh) | 2019-01-04 |
Family
ID=64790886
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201810956099.0A Pending CN109145604A (zh) | 2018-08-21 | 2018-08-21 | 一种勒索软件智能检测方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN109145604A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109729170A (zh) * | 2019-01-09 | 2019-05-07 | 武汉巨正环保科技有限公司 | 一种新算法的云计算数据备份和还原方法 |
| CN111062035A (zh) * | 2019-11-18 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 一种勒索软件检测方法、装置、电子设备及存储介质 |
| CN111614662A (zh) * | 2020-05-19 | 2020-09-01 | 网神信息技术(北京)股份有限公司 | 针对勒索病毒的拦截方法和装置 |
| CN114285608A (zh) * | 2021-12-09 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络攻击诱捕方法、装置、电子设备及存储介质 |
| CN114969741A (zh) * | 2022-06-07 | 2022-08-30 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| US20140181971A1 (en) * | 2012-12-25 | 2014-06-26 | Kaspersky Lab Zao | System and method for detecting malware that interferes with the user interface |
| CN104933366A (zh) * | 2015-07-17 | 2015-09-23 | 成都布林特信息技术有限公司 | 一种移动终端应用程序处理方法 |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN106484570A (zh) * | 2016-10-28 | 2017-03-08 | 福建平实科技有限公司 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
| CN106503551A (zh) * | 2016-10-28 | 2017-03-15 | 福建平实科技有限公司 | 一种针对勒索软件的处理方法和系统 |
| CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
-
2018
- 2018-08-21 CN CN201810956099.0A patent/CN109145604A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20140181971A1 (en) * | 2012-12-25 | 2014-06-26 | Kaspersky Lab Zao | System and method for detecting malware that interferes with the user interface |
| CN103761481A (zh) * | 2014-01-23 | 2014-04-30 | 北京奇虎科技有限公司 | 一种恶意代码样本自动处理的方法及装置 |
| CN104933366A (zh) * | 2015-07-17 | 2015-09-23 | 成都布林特信息技术有限公司 | 一种移动终端应用程序处理方法 |
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN106484570A (zh) * | 2016-10-28 | 2017-03-08 | 福建平实科技有限公司 | 一种针对防御勒索软件文件数据的备份保护方法和系统 |
| CN106503551A (zh) * | 2016-10-28 | 2017-03-15 | 福建平实科技有限公司 | 一种针对勒索软件的处理方法和系统 |
| CN106844097A (zh) * | 2016-12-29 | 2017-06-13 | 北京奇虎科技有限公司 | 一种针对恶意加密软件的防护方法及装置 |
| CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
Non-Patent Citations (1)
| Title |
|---|
| 小菜采77: "勒索软件终结者的防御原理", 《HTTPS://TIEBA.BAIDU.COM/P/4967710344》 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109729170A (zh) * | 2019-01-09 | 2019-05-07 | 武汉巨正环保科技有限公司 | 一种新算法的云计算数据备份和还原方法 |
| CN111062035A (zh) * | 2019-11-18 | 2020-04-24 | 哈尔滨安天科技集团股份有限公司 | 一种勒索软件检测方法、装置、电子设备及存储介质 |
| CN111062035B (zh) * | 2019-11-18 | 2024-02-20 | 安天科技集团股份有限公司 | 一种勒索软件检测方法、装置、电子设备及存储介质 |
| CN111614662A (zh) * | 2020-05-19 | 2020-09-01 | 网神信息技术(北京)股份有限公司 | 针对勒索病毒的拦截方法和装置 |
| CN111614662B (zh) * | 2020-05-19 | 2022-09-09 | 奇安信网神信息技术(北京)股份有限公司 | 针对勒索病毒的拦截方法和装置 |
| CN114285608A (zh) * | 2021-12-09 | 2022-04-05 | 北京安天网络安全技术有限公司 | 一种网络攻击诱捕方法、装置、电子设备及存储介质 |
| CN114285608B (zh) * | 2021-12-09 | 2024-05-14 | 北京安天网络安全技术有限公司 | 一种网络攻击诱捕方法、装置、电子设备及存储介质 |
| CN114969741A (zh) * | 2022-06-07 | 2022-08-30 | 中国软件评测中心(工业和信息化部软件与集成电路促进中心) | 恶意软件检测与分析方法、装置、设备和可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Scaife et al. | Cryptolock (and drop it): stopping ransomware attacks on user data | |
| CN109145604A (zh) | 一种勒索软件智能检测方法及系统 | |
| EP3568791B1 (en) | Early runtime detection and prevention of ransomware | |
| US11113156B2 (en) | Automated ransomware identification and recovery | |
| US8484737B1 (en) | Techniques for processing backup data for identifying and handling content | |
| US8495037B1 (en) | Efficient isolation of backup versions of data objects affected by malicious software | |
| US20210073380A1 (en) | Probabilistic anti-encrypting malware protections for cloud-based file systems | |
| US11159541B2 (en) | Program, information processing device, and information processing method | |
| US8336100B1 (en) | Systems and methods for using reputation data to detect packed malware | |
| US8839446B2 (en) | Protecting archive structure with directory verifiers | |
| JP2010182019A (ja) | 異常検知装置およびプログラム | |
| CN107871089B (zh) | 文件防护方法及装置 | |
| US11151087B2 (en) | Tracking file movement in a network environment | |
| US9860261B2 (en) | System for analyzing and maintaining data security in backup data and method thereof | |
| CN112560031B (zh) | 一种勒索病毒检测方法及系统 | |
| US20200327227A1 (en) | Method of speeding up a full antivirus scan of files on a mobile device | |
| May et al. | Combating ransomware using content analysis and complex file events | |
| US11349855B1 (en) | System and method for detecting encrypted ransom-type attacks | |
| Wood et al. | The evolution of ransomware variants | |
| KR20130074224A (ko) | 악성코드의 행동 패턴 수집장치 및 방법 | |
| US8341428B2 (en) | System and method to protect computing systems | |
| Netto et al. | An integrated approach for detecting ransomware using static and dynamic analysis | |
| Flaglien et al. | Storage and exchange formats for digital evidence | |
| US8402545B1 (en) | Systems and methods for identifying unique malware variants | |
| US9946853B1 (en) | Techniques for application code obfuscation |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20190104 |