CN110941822A - 勒索病毒的检测方法及装置 - Google Patents
勒索病毒的检测方法及装置 Download PDFInfo
- Publication number
- CN110941822A CN110941822A CN201811106882.4A CN201811106882A CN110941822A CN 110941822 A CN110941822 A CN 110941822A CN 201811106882 A CN201811106882 A CN 201811106882A CN 110941822 A CN110941822 A CN 110941822A
- Authority
- CN
- China
- Prior art keywords
- file
- taint
- terminal
- files
- lesovirus
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/554—Detecting local intrusion or implementing counter-measures involving event detection and direct action
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Measuring Or Testing Involving Enzymes Or Micro-Organisms (AREA)
Abstract
本发明实施例提供一种勒索病毒的检测方法,包括:确定历史勒索病毒遍历终端文件的顺序;根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。相较于在终端设备上部署污点文件,并对I/O类操作对应的每个API接口进行监控以检测勒索病毒的方法,一方面本发明对污点文件的操作状态监控时获取污点文件的操作状态的频率远不及I/O操作的频率,因此监控成本较小,系统运行损耗较小;另一方面,本发明对污点文件的操作状态监控与I/O类操作相互独立,不会影响的I/O操作速度,具有较强的可行性,适合推广使用。
Description
技术领域
本发明实施例涉及移动信息安全技术领域,尤其涉及一种勒索病毒的检测方法及装置。
背景技术
勒索病毒,是一种对终端设备上的文件进行加密以勒索终端设备用户的恶意软件。由于制造门槛较低、获利极快等特点,近年来勒索病毒逐渐增多,攻击对象从服务器、PC端延伸至手机终端,被勒索对象从学校、企业延伸至个人用户。大量勒索病毒的出现,带来的是惨重的经济损失,因此,及时检测出终端设备上的勒索病毒避免终端设备用户遭受勒索迫在眉睫。
考虑到加密操作属于I/O类操作,需要调用相应的API接口实现,现有技术在检测勒索病毒时:在终端设备上部署污点文件,并对I/O类操作对应的每个API接口进行监控,获取调用该API接口的软件以及该软件调用该API接口所操作的文件,若所操作的文件为污点文件,则该软件为勒索病毒。
由于终端设备上常高频触发I/O操作,会频繁调用I/O操作对应的API接口,因此对I/O操作对应的API接口进行监控的成本很高,终端设备系统运行损耗较大。同时,由于对I/O操作对应的每个API接口进行监控并获取调用该API接口的软件以及该软件调用该API接口所操作的文件这一动作在I/O操作过程内进行,因此,I/O操作速度会受到很大影响。上述原因均导致该方法在实际使用中可行性不强,无法普及推广。
发明内容
本发明实施例提供一种勒索病毒的检测方法及装置,用以解决现有技术中通过对I/O类操作对应的每个API接口进行监控实现勒索病毒检测的方法,因监控成本很高、终端设备系统运行损耗大以及影响I/O操作速度,在实际使用中可行性不强,无法普及推广的问题。
本发明实施例提供一种勒索病毒的检测方法,包括:确定历史勒索病毒遍历终端文件的顺序;根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。
本发明实施例提供一种勒索病毒的检测装置,包括:确定模块,用于确定历史勒索病毒遍历终端文件的顺序;部署模块,用于根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;获取模块,用于当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;检测模块,用于若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。
本发明实施例提供一种计算机设备,包括:处理器;以及用于存放计算机程序的存储器,所述处理器用于执行所述存储器上所存放的计算机程序,以实现如上所述的勒索病毒的检测方法。
本发明实施例提供一种计算机存储介质,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的勒索病毒的检测方法。
本发明实施例提供的勒索病毒的检测方法及装置,通过在终端上部署污点文件并在监控到污点文件的操作状态异常时,确定终端当下的所有进程中满足勒索病毒库的任一特定属性的进程,进程对应的软件即为勒索病毒,从而有效实现勒索病毒的检测。相较于在终端设备上部署污点文件,并对I/O类操作对应的每个API接口进行监控以检测勒索病毒的方法,本发明方法实施例一中对污点文件的操作状态监控时获取污点文件的操作状态的频率远不及I/O操作的频率,因此监控成本较小,系统运行损耗较小;对污点文件的操作状态监控与I/O类操作相互独立,不会影响的I/O操作速度,因此,本发明方法实施例一具有较强的可行性,适合推广使用。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明方法实施例一提供的勒索病毒的检测方法流程图;
图2为本发明方法实施例二提供的勒索病毒的检测方法流程图;
图3为本发明方法实施例三提供的勒索病毒的检测方法流程图;
图4为本发明方法实施例四提供的勒索病毒的检测方法流程图;
图5为本发明方法实施例五提供的勒索病毒的检测方法流程图;
图6为本发明方法实施例六提供的勒索病毒的检测方法流程图;
图7为本发明方法实施例七提供的勒索病毒的检测方法流程图;
图8为本发明装置实施例一提供的勒索病毒的检测装置示意图;
图9为本发明装置实施例二提供的勒索病毒的检测装置示意图;
图10为本发明装置实施例三提供的勒索病毒的检测装置示意图;
图11为本发明装置实施例四提供的勒索病毒的检测装置示意图;
图12为本发明装置实施例五提供的勒索病毒的检测装置示意图;
图13为本发明装置实施例六提供的勒索病毒的检测装置示意图;
图14为本发明装置实施例七提供的勒索病毒的检测装置示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
2017年5月12日,wannacry勒索病毒突袭全球,超过150个国家的学校、医院、企业以及个人电脑等基础设施遭受攻击,导致文件被加密,电脑用户被勒索;而后Petya勒索病毒出现,再度攻击了多个国家,导致基础设施受到重创。每一次勒索病毒的出现,都带来了惨重的经济损失,因此,寻找一种可行性较强的勒索病毒检测方法,在勒索病毒未对终端设备实现攻击前实现勒索病毒检测,进而及时处理勒索病毒以避免终端设备用户遭受勒索十分必要。
图1为本发明方法实施例一提供的勒索病毒的检测方法流程图。如图1所示,在本实施例中,该方法包括:
步骤S102、确定历史勒索病毒遍历终端文件的顺序;
勒索病毒对终端进行攻击时,会根据一定的遍历顺序遍历终端上的文件,边遍历边加密。因此,可通过对历史勒索病毒的攻击行为进行分析,获取历史勒索病毒遍历终端文件时的遍历顺序。
可针对特定历史勒索病毒进行分析,获取特定历史勒索病毒的遍历顺序,一般仅为一种,例如:遍历顺序可能仅为根据文件名称按递增排序遍历、根据文件名称按递减排序遍历、根据文件修改时间按递增排序遍历或根据文件修改时间递减排序遍历等。
还可针对多种历史勒索病毒进行分析,获取多种历史勒索病毒的遍历顺序,遍历顺序可能为多种,例如:遍历顺序为两种,包括根据文件名称按递增排序遍历和根据文件名称按递减排序遍历;遍历顺序为三种,包括根据文件名称按递增排序遍历、根据文件名称按递减排序遍历和根据文件修改时间按递增排序遍历;遍历顺序为四种,包括根据文件名称按递增排序遍历、根据文件名称按递减排序遍历、根据文件修改时间按递增排序遍历和根据文件修改时间按递减排序遍历等。
步骤S104、根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件;
在本实施例中,污点文件为不包含有效信息的文件,可自行创建文件作为污点文件。污点文件即使被勒索病毒加密也不会对终端用户造成影响。根据确定的历史勒索病毒遍历终端文件的顺序(仅一种遍历顺序或多种遍历顺序),在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件。
若根据步骤S102所确定的历史勒索病毒遍历顺序仅为一种,例如:遍历顺序为根据文件名称按递增排序遍历,则在终端上部署污点文件需保证根据文件名称按递增排序时污点文件位于终端任一重要文件之前,从而可确保根据文件名称按递增排序遍历的勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件。
若根据步骤S102所确定的历史勒索病毒的遍历顺序为多种,例如:两种,遍历顺序包括根据文件名称按递增排序遍历和根据文件名称按递减排序遍历,则在终端上部署污点文件时需保证根据文件名称按递增排序时存在污点文件位于终端文件之前以及根据文件名称按递减排序时也存在污点文件位于终端文件之前,从而可确保根据文件名称按递增排序或按递减排序遍历的勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件。
步骤S102所确定的历史勒索病毒的遍历顺序种类越丰富,部署污点文件越全面,越能确保勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件。
步骤S106、当监控到污点文件的操作状态异常时,获取终端当下的所有进程;
在本实施例中,监控可采用终端的操作系统上现有的文件操作状态监控函数,例如,Fileobserver,监控文件以获知文件操作状态。文件的操作状态可以为打开、创建、移动、编辑、删除等。通过对历史勒索病毒的历史加密行为进行分析,得知加密操作一般直接编辑源文件或者复制源文件,对副本进行加密,再删除原始的源文件。因此,污点文件的操作状态异常可认为污点文件被编辑或删除。在实际情况中,若通过分析发现加密操作中其他典型行为,也可在污点文件被实施该典型行为时认为操作状态异常。操作污点文件的必然是当下正在运行的软件。正在运行的软件才存在进程,因此,获取当下的所有进程就确定了当下正在运行的所有软件。
步骤S108、若某个进程满足勒索病毒库的任一特定属性,则与进程对应的软件为勒索病毒。
在本实施例中,特定属性为用于描述软件的、具有唯一性的静态信息,例如,软件的应用名称、图标、包名或证书等。进程中包含了对应软件的特定属性。勒索病毒库中存储了海量历史勒索病毒的多种特定属性。将终端当下的所有进程中每个进程包含的软件的特定属性与勒索病毒库中各历史勒索病毒的各特定属性匹配,若一致,则匹配成功,表明该软件为对应历史勒索病毒。
本发明方法实施例一提供的勒索病毒的检测方法,通过在终端上部署污点文件并在监控到污点文件的操作状态异常时,确定终端当下的所有进程中满足勒索病毒库的任一特定属性的进程,进程对应的软件即为勒索病毒,从而有效实现勒索病毒的检测。相较于在终端设备上部署污点文件,并对I/O类操作对应的每个API接口进行监控以检测勒索病毒的方法,本发明方法实施例一中对污点文件的操作状态监控时获取污点文件的操作状态的频率远不及I/O操作的频率,因此监控成本较小,系统运行损耗较小;对污点文件的操作状态监控与I/O类操作相互独立,不会影响的I/O操作速度,因此,本发明方法实施例一具有较强的可行性,适合推广使用。
图2为本发明方法实施例二提供的勒索病毒的检测方法流程图。如图2所示,在本实施例中,在方法实施例一的基础上,在步骤S104之前,还包括:
步骤S203、根据第一规则对污点文件进行命名,第一规则为污点文件的名称字符串比终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高,名称字符串包括汉字、字母、数字和键盘符号中至少一种。
在本实施例中,根据文件名称遍历指根据文件的名称字符串中字符的优先级遍历。汉字、字母、数字和键盘符号以及每种符号内部各符号的优先级包括递增排序时的优先级和递减排序时的优先级。其中,递增排序时的优先级和递减排序时的优先级相反。递增排序时的优先级和递减排序时的优先级由终端操作系统规定的规则确定,可查阅获知。以Windows操作系统为例,在中/英输入法下,递增排序时的优先级如下:
对于不同种类的符号,按照键盘符号、数字、字母和汉字的顺序优先级依次降低。
对于同种类的不同符号,同为汉字时,从汉字拼音的第一个字母开始比对,按照从a到z的顺序汉字的优先级依次降低;同为英文单词时,从单词的第一个字母开始比对,按照从a到z的顺序由英文单词的优先级依次降低,不区分大小写;同为数字时,按照从大到小的顺序数字的优先级依次降低同为键盘符号时,由于键盘符号较多,仅举例部分:按照!!#$%&(()),,、.。;;?@[]^_`{}~‘’“”《》¥【】+=的顺序键盘符号的优先级依次降低。
在对污点文件命名前,可以获取文件名称递增(或递减)排序下排序第一的重要文件的名称字符串。
在对污点文件命名时,确保在文件名称递增(或递减)排序下,污点文件的名称字符串比文件名称递增(或递减)排序下排序第一的重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高。例如:若文件名称递增排序下排序第一的重要文件的名称字符串为“音乐music2+”,则污点文件可以命名为“快乐music2#”、“音乐ear1#”、“音乐music1?”或“音乐music2?”此时,由于文件名称递增排序下键盘字符中英文“!”优先级最高,优选地,命名污点文件为“!i”。其中i数字用于区别不同的污点文件。若文件名称递减排序下排序第一的重要文件的名称字符串为“?”,则污点文件可以命名为“music”、“1”或“快乐”,此时,由于文件名称递减排序下汉字中拼音为a的字优先级最高,优选地,命名污点文件为“啊i”。其中i数字用于区别不同的污点文件。此时,可确保勒索病毒按照文件名称递增(或递减)排序遍历终端文件时,在遍历到终端重要文件之前,先遍历污点文件。
或者,在对污点文件命名前,可以分别获取文件名称递增和递减排序下排序第一的重要文件的名称字符串。
在对污点文件命名时,确保在文件名称递增排序下一部分污点文件的名称字符串比文件名称递增排序下排序第一的重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高,同时,确保在文件名称递减排序下另一部分污点文件的名称字符串比文件名称递减排序下排序第一的重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高。例如:若文件名称递增排序下排序第一的重要文件的名称字符串为“音乐music2+”,文件名称递减排序下排序第一的重要文件的名称字符串为“?”,则一部分污点文件可以命名为“快乐music2#”、“音乐ear1#”、“音乐music1?”或“音乐music2?”,另一部分污点文件可以命名为“music”、“1”或“快乐”,此时,由于文件名称递增排序下键盘字符中英文“!”优先级最高,文件名称递减排序下汉字中拼音为a的字优先级最高,优选地,在对污点文件命名时,命名一部分污点文件为“!i”;命名另一部分污点文件为“啊i”。其中i数字用于区别不同的污点文件。此时,可确保无论勒索病毒按照文件名称递增排序还是递减排序遍历终端文件时,在遍历到终端重要文件之前,先遍历污点文件。
本发明方法实施例二通过基于污点文件的名称字符串比终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高这一规则对污点文件的命名,实现了勒索病毒在遍历到终端重要文件之前,先遍历污点文件。
图3为本发明方法实施例三提供的勒索病毒的检测方法流程图。如图3所示,在本实施例中,在方法实施例一的基础上,在步骤S104之前,还包括:
步骤S303、根据第二规则确定污点文件的创建时间,第二规则为根据文件的修改时间递增和/或递减的遍历顺序,污点文件排在终端上所有重要文件之前。
在确定污点文件的创建时间前,可以获取文件的修改时间递增(或递减)排序下排序第一的重要文件的修改时间。
确定污点文件的创建时间时,确保在文件的修改时间递增(或递减)排序下,污点文件的创建时间早于(晚于)文件修改时间递增(或递减)排序下排序第一的重要文件的修改时间。例如:若文件修改时间递增排序下排序第一的重要文件的修改时间为“2013/8/1018:11”,则污点文件的创建时间可以确定为“2013/8/10 17:11”,此时,由于文件修改时间递增排序下排序第一的重要文件的修改时间不会早于终端的生产时间,优选地,在确定污点文件的创建时间时,确定污点文件的创建时间为终端的生产时间。若文件修改时间递减排序下排序第一的重要文件的修改时间为“2018/8/10 18:11”,则污点文件的创建时间可以确定为“2018/8/10 19:11”,此时,由于文件修改时间递减排序下排序第一的重要文件的修改时间不会晚于确定污点文件的创建时间的当下的若干年后,优选地,在确定污点文件的创建时间时,确定污点文件的创建时间为确定污点文件的创建时间的当下的加上若干年。此时,可确保勒索病毒按照文件修改时间递增(或递减)排序遍历终端文件时,在遍历到终端重要文件之前,先遍历污点文件。
在确定污点文件的创建时间前,可以分别获取文件的修改时间递增和递减排序下排序第一的重要文件的修改时间。
确定污点文件的创建时间时,确保一部分污点文件的创建时间早于文件的修改时间递增排序下排序第一的重要文件的修改时间;确保另一部分污点文件的创建时间晚于文件的修改时间递减排序下排序第一的重要文件的修改时间。例如:文件修改时间递增排序下排序第一的重要文件的修改时间为“2013/8/10 18:11”文件修改时间递减排序下排序第一的重要文件的修改时间为“2018/8/10 18:11”,则一部分污点文件的创建时间可以确定为“2013/8/10 17:11”,另一部分污点文件的创建时间可以确定为“2018/8/1019:11”,此时,由于文件修改时间递增排序下排序第一的重要文件的修改时间不会早于终端的生产时间,文件修改时间递减排序下排序第一的重要文件的修改时间不会晚于确定污点文件的创建时间的当下的若干年后,优选地,在确定污点文件的创建时间时,确定一部分污点文件的创建时间为终端的生产时间;确定另一部分污点文件的创建时间为确定污点文件的创建时间的当下的加上若干年。此时,可确保无论勒索病毒按照文件修改时间递增排序还是递减排序遍历终端文件时,在遍历到终端重要文件之前,先遍历污点文件。
本发明方法实施例三通过根据文件的修改时间递增和/或递减的遍历顺序,污点文件排在终端上所有重要文件之前这一规则确定污点文件的创建时间,实现了勒索病毒在遍历到终端重要文件之前,先遍历污点文件。
此外,在方法实施例二中步骤S104之前还包括步骤S303形成的方法实施例也在本发明的保护范围内。此时,在按照文件的修改时间和/或文件名称的递增排序和/或递减排序遍历终端文件时,勒索病毒在遍历到终端文件之前,先遍历污点文件。
图4为本发明方法实施例四提供的勒索病毒的检测方法流程图。如图4所示,在本实施例中,在方法实施例一的基础上,该方法还包括:
S405、在终端上所有重要文件所在的路径上部署污点文件。
在本实施例中,由于终端上对于用户十分重要的某个软件对应的一批文件通常存放在同一路径下,例如,社交软件对应的用于存储终端用户社交产生的文字、图片和视频的一批文件,通常存放在社交软件的安装目录下。因此,勒索病毒在对终端进行攻击时,可能对该社交软件的安装目录下的所有文件进行加密实施勒索。因此,可以将常被攻击的路径作为重要文件的所在路径。根据对勒索病毒历史加密信息进行分析统计可以得到常被攻击的路径。还可以通过用户手动将存储有重要文件的路径设置为重要文件的所在路径。
由于终端上重要文件遭受勒索病毒攻击可能导致终端的无法正常运行或终端用户重要信息的泄露,因此,在终端上所有重要文件所在的路径上部署污点文件,可进一步确保勒索病毒在遍历到重要文件之前,先遍历污点文件,从而能够在勒索病毒被检测到之前避免重要文件被加密,致使终端用户遭受勒索。
此外,在上述除方法实施例一以外的每个方法实施例中,分别还包括步骤S405,形成的方法实施例也在本发明的保护范围内。
图5为本发明方法实施例五提供的勒索病毒的检测方法流程图。如图5所示,在本实施例中,在方法实施例一的基础上,步骤S106具体包括:
步骤S506、当监控到污点文件的操作状态异常时,获取终端当下的、对应软件启动次数小于预设阈值的所有进程;
在本实施例中,在本实施例中,终端上有许多软件为频繁使用的正常软件,它们的启动次数较多。而勒索病毒一般只会启动一次,也可能在启动时崩溃,无法成功运行,需要启动几次才能正常运行,优选地,预设阈值为3次。可见,启动次数较少的软件更有可能为勒索病毒。通过利用启动次数将终端当下运行的所有软件中那些启动次数较多的软件排除,缩小了将启动次数小于预设阈值的软件的特定属性分别与勒索病毒库匹配时的匹配量,减小了匹配的计算量,可以更快的确定勒索病毒。
此外,在上述除方法实施例一以外的每个方法实施例中,步骤S106具体包括步骤S506,分别形成的方法实施例也在本发明的保护范围内。
图6为本发明方法实施例六提供的勒索病毒的检测方法流程图。如图6所示,在方法实施例一的基础上,在本实施例中,步骤S108具体包括:
步骤S608、若某个进程满足勒索病毒库的任一特定属性,则与进程对应的软件为勒索病毒,特定属性包括应用名称、包名、证书和图标中至少一种。
在本实施例中,由于进程中包含每个正在运行软件的应用名称、包名、证书和图标,因此,将应用名称、包名、证书和图标中至少一种作为特定属性,则获取进程后便可直接将进程与勒索病毒库匹配,相比于通过进程进一步获取软件的其他特征与勒索病毒库匹配,检测更及时。
此外,在上述除方法实施例一以外的每个方法实施例中,步骤S108具体包括步骤S608,分别形成的方法实施例也在本发明的保护范围内。
图7为本发明方法实施例七提供的勒索病毒的检测方法流程图。如图7所示,在方法实施例一的基础上,在本实施例中,步骤S104具体包括:
步骤S704、根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件,重要文件为常被攻击的文件或用户自定义的重要文件。
在本实施例中,常被攻击的文件为攻击者认为对终端用户重要的、可作为威胁条件的并常常进行攻击的文件,可通过对历史勒索病毒的历史攻击记录分析获得。用户自定义的重要文件为用户存放于终端上的、涉及用户个人隐私或财产安全的文件,可通过用户手动标记确定。重要文件涵盖了可能被攻击的文件以及终端用户自定义的文件,则检测时可确保勒索病毒在遍历到终端任一可能被攻击的文件或终端用户自定义的文件之前,先遍历污点文件。
此外,在上述除方法实施例一以外的每个方法实施例中,步骤S104具体包括步骤S704,分别形成的方法实施例也在本发明的保护范围内。
作为一种可选实施例,在上述各实施例的基础上,勒索病毒的检测方法还包括:清理勒索病毒对应的进程并提示终端用户卸载勒索病毒。
其中,当检测到勒索病毒时,勒索病毒已在终端上进行加密操作,通过清理勒索病毒对应的进程可以及时停止勒索病毒的加密操作,避免重要文件被加密。清理勒索病毒对应的进程可以调用终端上操作系统中清理进程的API实现。进一步,将勒索病毒的信息推送至终端显示页面,提示用户并引导用户手动卸载勒索病毒。
图8为本发明装置实施例一提供的勒索病毒的检测装置示意图。如图8所示,在本实施例中,该装置包括:
确定模块102,用于确定历史勒索病毒遍历终端文件的顺序;
部署模块104,用于根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件;
获取模块106,用于当监控到污点文件的操作状态异常时,获取终端当下的所有进程;
检测模块108,用于若某个进程满足勒索病毒库的任一特定属性,则与进程对应的软件为勒索病毒。
本发明装置实施例一提供的勒索病毒的检测装置,通过在终端上部署污点文件并在监控到污点文件的操作状态异常时,确定终端当下的所有进程中满足勒索病毒库的任一特定属性的进程,进程对应的软件即为勒索病毒,从而有效实现勒索病毒的检测。相较于在终端设备上部署污点文件,并对I/O类操作对应的每个API接口进行监控以检测勒索病毒的方法,本发明方法实施例一中对污点文件的操作状态监控时获取污点文件的操作状态的频率远不及I/O操作的频率,因此监控成本较小,系统运行损耗较小;对污点文件的操作状态监控与I/O类操作相互独立,不会影响的I/O操作速度,因此,本发明方法实施例一具有较强的可行性,适合推广使用。
图9为本发明装置实施例二提供的勒索病毒的检测装置示意图。如图9所示,在本实施例中,在装置实施例一的基础上,该装置还包括:
命名模块203,用于根据第一规则对污点文件进行命名,第一规则为污点文件的名称字符串比终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高,名称字符串包括汉字、字母、数字和键盘符号中至少一种。
本发明装置实施例二提供的勒索病毒的检测装置,通过基于污点文件的名称字符串比终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高这一规则对污点文件的命名,实现了勒索病毒在遍历到终端重要文件之前,先遍历污点文件。
图10为本发明装置实施例三提供的勒索病毒的检测装置示意图。如图10所示,在本实施例中,在装置实施例一的基础上,该装置还包括:
时间确定模块303,用于根据第二规则确定污点文件的创建时间,第二规则为根据文件的修改时间递增和/或递减的遍历顺序,污点文件排在终端上所有重要文件之前。
本发明装置实施例三提供的勒索病毒的检测装置,通过根据文件的修改时间递增和/或递减的遍历顺序,污点文件排在终端上所有重要文件之前这一规则确定污点文件的创建时间,实现了勒索病毒在遍历到终端重要文件之前,先遍历污点文件。
此外,在装置实施例二中还包括时间确定模块303形成的装置实施例也在本发明的保护范围内。此时,在按照文件的修改时间和/或文件名称的递增排序和/或递减排序遍历终端文件时,历史勒索病毒在遍历到终端文件之前,先遍历污点文件。
图11为本发明装置实施例四提供的勒索病毒的检测装置示意图。如图11所示,在本实施例中,在装置实施例一的基础上,该装置还包括:
路径部署模块405,用于在终端上所有重要文件所在的路径上部署污点文件。
本发明装置实施例四提供的勒索病毒的检测装置,通过在终端上所有重要文件所在的路径上部署污点文件,可进一步确保勒索病毒在遍历到重要文件之前,先遍历污点文件,从而能够在勒索病毒被检测到之前避免重要文件被加密,致使终端用户遭受勒索。
此外,在上述除装置实施例一以外的每个装置实施例中,分别还包括路径部署模块405,形成的装置实施例也在本发明的保护范围内。
图12为本发明装置实施例五提供的勒索病毒的检测装置示意图。如图12所示,在本实施例中,在装置实施例一的基础上,获取模块106具体包括:
获取模块506,用于当监控到污点文件的操作状态异常时,获取终端当下的、对应软件启动次数小于预设阈值的所有进程。
本发明装置实施例五提供的勒索病毒的检测装置,通过通过利用启动次数将终端当下运行的所有软件中那些启动次数较多的软件排除,缩小了将启动次数小于预设阈值的软件的特定属性分别与勒索病毒库匹配时的匹配量,减小了匹配的计算量,可以更快的确定勒索病毒。
此外,在上述除装置实施例一以外的每个方法实施例中,获取模块106具体包括获取模块506,分别形成的装置实施例也在本发明的保护范围内。
图13为本发明装置实施例六提供的勒索病毒的检测装置示意图。如图13所示,在装置实施例一的基础上,在本实施例中,检测模块108具体包括:
检测模块608,用于若某个进程满足勒索病毒库的任一特定属性,则与进程对应的软件为勒索病毒,特定属性包括应用名称、包名、证书和图标中至少一种。
本发明装置实施例六提供的勒索病毒的检测装置,通过将应用名称、包名、证书和图标中至少一种作为特定属性,则获取进程后便可直接将进程与勒索病毒库匹配,相比于通过进程进一步获取软件的其他特征与勒索病毒库匹配,检测更及时。
此外,在上述除装置实施例一以外的每个装置实施例中,检测模块108具体包括检测模块608,分别形成的装置实施例也在本发明的保护范围内。
图14为本发明装置实施例七提供的勒索病毒的检测装置示意图。如图14所示,在装置实施例一的基础上,在本实施例中,部署模块104具体包括:
部署模块704,用于根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历污点文件,重要文件为常被攻击的文件或用户自定义的重要文件。
本发明装置实施例六提供的勒索病毒的检测装置,通过使重要文件涵盖可能被攻击的文件以及终端用户自定义的文件,则检测时可确保历史勒索病毒在遍历到终端任一可能被攻击的文件或终端用户自定义的文件之前,先遍历污点文件。
此外,在上述除装置实施例一以外的每个装置实施例中,部署模块104具体包括部署模块704,分别形成的装置实施例也在本发明的保护范围内。
本发明实施例提供一种计算机设备,包括:处理器;以及用于存放计算机程序的存储器,所述处理器用于执行所述存储器上所存放的计算机程序,以实现如上所述的勒索病毒的检测方法。
本发明实施例提供一种计算机存储介质,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如上所述的勒索病毒的检测方法。
以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下,即可以理解并实施。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件。基于这样的理解,上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在计算机可读存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行各个实施例或者实施例的某些部分的方法。
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。
Claims (10)
1.一种勒索病毒的检测方法,其特征在于,包括:
确定历史勒索病毒遍历终端文件的顺序;
根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;
当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;
若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。
2.根据权利要求1所述的勒索病毒的检测方法,其特征在于,还包括:
根据第一规则对所述污点文件进行命名,所述第一规则为所述污点文件的名称字符串比所述终端上所有重要文件的名称字符串从首至尾第一个相同位置不同字符处字符的优先级高,所述名称字符串包括汉字、字母、数字和键盘符号中至少一种。
3.根据权利要求2所述的勒索病毒的检测方法,其特征在于,所述方法还包括:
根据第二规则确定所述污点文件的创建时间,所述第二规则为根据文件的修改时间递增和/或递减的遍历顺序,所述污点文件排在所述终端上所有重要文件之前。
4.根据权利要求2或3所述的勒索病毒的检测方法,其特征在于,所述方法还包括:在所述终端上所有重要文件所在的路径上部署所述污点文件。
5.根据权利要求4所述的勒索病毒的检测方法,其特征在于,所述当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程,具体包括:
当监控到所述污点文件的操作状态异常时,获取所述终端当下的、对应软件启动次数小于预设阈值的所有进程。
6.根据权利要求5所述的勒索病毒的检测方法,其特征在于,所述特定属性包括应用名称、包名、证书和图标中至少一种。
7.根据权利要求6所述的勒索病毒的检测方法,其特征在于,所述重要文件为常被攻击的文件或用户自定义的重要文件。
8.一种勒索病毒的检测装置,其特征在于,包括:
确定模块,用于确定历史勒索病毒遍历终端文件的顺序;
部署模块,用于根据确定的历史勒索病毒遍历终端文件的顺序,在终端上部署污点文件,以确保勒索病毒在遍历到终端任一重要文件之前,先遍历所述污点文件;
获取模块,用于当监控到所述污点文件的操作状态异常时,获取所述终端当下的所有进程;
检测模块,用于若某个进程满足勒索病毒库的任一特定属性,则与所述进程对应的软件为勒索病毒。
9.一种计算机设备,其特征在于,包括:
处理器;以及用于存放计算机程序的存储器,所述处理器用于执行所述存储器上所存放的计算机程序,以实现如权利要求1-7中任一权利要求所述的勒索病毒的检测方法。
10.一种计算机存储介质,其特征在于,所述计算机存储介质内存储有计算机程序,所述计算机程序被处理器执行时实现如权利要求1-7中任一权利要求所述的勒索病毒的检测方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811106882.4A CN110941822A (zh) | 2018-09-21 | 2018-09-21 | 勒索病毒的检测方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811106882.4A CN110941822A (zh) | 2018-09-21 | 2018-09-21 | 勒索病毒的检测方法及装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN110941822A true CN110941822A (zh) | 2020-03-31 |
Family
ID=69905238
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811106882.4A Pending CN110941822A (zh) | 2018-09-21 | 2018-09-21 | 勒索病毒的检测方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110941822A (zh) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN112560031A (zh) * | 2020-11-16 | 2021-03-26 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
| CN113032783A (zh) * | 2021-03-11 | 2021-06-25 | 北京顶象技术有限公司 | 一种基于非代码特征的病毒检测方法和系统 |
| CN114175575A (zh) * | 2020-07-02 | 2022-03-11 | 华为技术有限公司 | 用于生成、使用和优化蜜罐的设备和方法 |
| CN115189944A (zh) * | 2022-07-08 | 2022-10-14 | 山石网科通信技术股份有限公司 | 勒索病毒拦截方法、装置、电子设备及存储介质 |
| CN115329332A (zh) * | 2022-08-18 | 2022-11-11 | 广西飞创信息科技有限公司 | 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统 |
| CN117150493A (zh) * | 2023-09-26 | 2023-12-01 | 中电云计算技术有限公司 | 一种识别api接口参数值递增型遍历的方法及装置 |
| CN117421733A (zh) * | 2023-12-19 | 2024-01-19 | 浪潮电子信息产业股份有限公司 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| US20180189490A1 (en) * | 2016-12-31 | 2018-07-05 | Fortinet, Inc. | Ransomware detection and damage mitigation |
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
-
2018
- 2018-09-21 CN CN201811106882.4A patent/CN110941822A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106096397A (zh) * | 2016-05-26 | 2016-11-09 | 倪茂志 | 一种勒索软件的防范方法和系统 |
| US20180189490A1 (en) * | 2016-12-31 | 2018-07-05 | Fortinet, Inc. | Ransomware detection and damage mitigation |
| CN107729752A (zh) * | 2017-09-13 | 2018-02-23 | 中国科学院信息工程研究所 | 一种勒索软件防御方法及系统 |
| CN108363923A (zh) * | 2017-10-19 | 2018-08-03 | 北京安天网络安全技术有限公司 | 一种勒索者病毒防御方法、系统及设备 |
Cited By (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114175575A (zh) * | 2020-07-02 | 2022-03-11 | 华为技术有限公司 | 用于生成、使用和优化蜜罐的设备和方法 |
| CN114175575B (zh) * | 2020-07-02 | 2023-04-18 | 华为技术有限公司 | 用于生成、使用和优化蜜罐的设备和方法 |
| CN112560031A (zh) * | 2020-11-16 | 2021-03-26 | 杭州美创科技有限公司 | 一种勒索病毒检测方法及系统 |
| CN113032783A (zh) * | 2021-03-11 | 2021-06-25 | 北京顶象技术有限公司 | 一种基于非代码特征的病毒检测方法和系统 |
| CN113032783B (zh) * | 2021-03-11 | 2024-03-19 | 北京顶象技术有限公司 | 一种基于非代码特征的病毒检测方法和系统 |
| CN115189944A (zh) * | 2022-07-08 | 2022-10-14 | 山石网科通信技术股份有限公司 | 勒索病毒拦截方法、装置、电子设备及存储介质 |
| CN115329332A (zh) * | 2022-08-18 | 2022-11-11 | 广西飞创信息科技有限公司 | 基于磁盘块底层的防勒索病毒保护和快速恢复方法及系统 |
| CN117150493A (zh) * | 2023-09-26 | 2023-12-01 | 中电云计算技术有限公司 | 一种识别api接口参数值递增型遍历的方法及装置 |
| CN117421733A (zh) * | 2023-12-19 | 2024-01-19 | 浪潮电子信息产业股份有限公司 | 勒索病毒检测方法、装置、电子设备及可读存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110941822A (zh) | 勒索病毒的检测方法及装置 | |
| US11997115B1 (en) | Message platform for automated threat simulation, reporting, detection, and remediation | |
| Ho et al. | Detecting and characterizing lateral phishing at scale | |
| US20180191754A1 (en) | Suspicious message processing and incident response | |
| US9436463B2 (en) | System and method for checking open source usage | |
| JP5460887B2 (ja) | 分類ルール生成装置及び分類ルール生成プログラム | |
| US9479524B1 (en) | Determining string similarity using syntactic edit distance | |
| WO2016164844A1 (en) | Message report processing and threat prioritization | |
| JP6714175B2 (ja) | 解析装置、解析方法及び解析プログラム | |
| CN108985064B (zh) | 一种识别恶意文档的方法及装置 | |
| CN110362996B (zh) | 一种离线检测PowerShell恶意软件的方法与系统 | |
| US10311218B2 (en) | Identifying machine-generated strings | |
| US10454967B1 (en) | Clustering computer security attacks by threat actor based on attack features | |
| CN106648715A (zh) | 加载弹窗控件的方法和系统 | |
| AU2016246074B2 (en) | Message report processing and threat prioritization | |
| JPWO2016121348A1 (ja) | マルウェア対策装置、マルウェア対策システム、マルウェア対策方法、及び、マルウェア対策プログラム | |
| CN111724069A (zh) | 用于处理数据的方法、装置、设备及存储介质 | |
| CN112769823A (zh) | 一种基于信息管理的安全网络审计方法及系统 | |
| US8938807B1 (en) | Malware removal without virus pattern | |
| CN113067792A (zh) | 一种xss攻击识别方法、装置、设备及介质 | |
| CN110392032B (zh) | 检测异常url的方法、装置及存储介质 | |
| CN111988327B (zh) | 威胁行为检测和模型建立方法、装置、电子设备及存储介质 | |
| JP2019175334A (ja) | 情報処理装置、制御方法、及びプログラム | |
| CN115495737A (zh) | 恶意程序失效方法、装置、设备及存储介质 | |
| CN113449350A (zh) | Usb外发敏感信息的管理方法、装置、设备及介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20200331 |
|
| WD01 | Invention patent application deemed withdrawn after publication |