CN111625828B - 勒索病毒防御方法、装置及电子设备 - Google Patents
勒索病毒防御方法、装置及电子设备 Download PDFInfo
- Publication number
- CN111625828B CN111625828B CN202010741743.XA CN202010741743A CN111625828B CN 111625828 B CN111625828 B CN 111625828B CN 202010741743 A CN202010741743 A CN 202010741743A CN 111625828 B CN111625828 B CN 111625828B
- Authority
- CN
- China
- Prior art keywords
- virus
- file
- host
- script
- preset sample
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Information Transfer Between Computers (AREA)
Abstract
本申请提供一种勒索病毒防御方法、装置及电子设备,该方法包括:接收所述多个主机中的任一主机上报的勒索病毒告警信息;基于所述勒索病毒告警信息,确定病毒脚本的下载路径;对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。该方法可以优化病毒防御效果。
Description
技术领域
本申请涉及网络安全领域,尤其涉及一种勒索病毒防御方法、装置及电子设备。
背景技术
勒索病毒,也可以称为勒索软件(Ransomware),是一类以加密数据、锁定设备为攻击方式、勒索赎金为主要目的的恶意软件。
随着APT(Advanced Persistent Threat,高级可持续威胁攻击,也可以称为定向威胁攻击)攻击的不断进化,勒索病毒成为威胁企业内部网络的新的网络犯罪手段。
目前,针对勒索病毒的主要防御方式为检测和防护:通过基于恶意样本的分析,特征提取,以及通信特征数据的抓取的方式进行检测,并通过恶意程序行为的管控的方式进行防护。
然而实践发现,传统针对勒索病毒的防御方式仅能在确定主机被勒索病毒感染后针对被感染的主机进行防护,病毒防御效果较差。
发明内容
有鉴于此,本申请提供一种勒索病毒防御方法、装置及电子设备。
具体地,本申请是通过如下技术方案实现的:
根据本申请实施例的第一方面,提供一种勒索病毒防御方法,应用于病毒防御平台,该方法包括:
接收主机上报的勒索病毒告警信息;
基于所述勒索病毒告警信息,确定病毒脚本的下载路径;
对基于所述下载路径发起的脚本下载请求进行拦截。
根据本申请实施例的第二方面,提供一种勒索病毒防御方法,应用于主机,该方法包括:
进行勒索病毒检测;
当检测到勒索病毒时,向病毒防御平台上报勒索告警信息,以使所述病毒防御平台基于所述勒索病毒告警信息,确定病毒脚本的下载路径,并对基于所述下载路径发起的脚本下载请求进行拦截。
根据本申请实施例的第三方面,提供一种勒索病毒防御装置,应用于病毒防御平台,所述装置包括:
接收单元,用于接收主机上报的勒索病毒告警信息;
确定单元,用于基于所述勒索病毒告警信息,确定病毒脚本的下载路径;
防御单元,用于对基于所述下载路径发起的脚本下载请求进行拦截。
根据本申请实施例的第四方面,提供一种勒索病毒防御装置,应用于主机,所述装置包括:
检测单元,用于进行勒索病毒检测;
防御单元,用于当检测到勒索病毒时,向病毒防御平台上报勒索告警信息,以使所述病毒防御平台基于所述勒索病毒告警信息,确定病毒脚本的下载路径,并对基于所述下载路径发起的脚本下载请求进行拦截。
根据本申请实施例的第五方面,提供一种电子设备,该电子设备包括:
处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现第一方面或第二方面所述的方法。
本申请实施例的勒索病毒防御方法,通过在病毒防御系统中部署用于对抗勒索病毒的软件,病毒防御系统中的多个主机中的任一主机利用本机部署的防护节点软件检测勒索病毒,并在检测到勒索病毒时,向病毒防御系统中的病毒防御平台的中心平台软件上报勒索告警信息;病毒防御平台接收到主机上报的勒索病毒告警信息时,基于勒索病毒告警信息,确定病毒脚本的下载路径,并对病毒防御系统中的多个主机中的任一主机基于下载路径发起的脚本下载请求进行拦截,从单机病毒防御扩展到整个系统的病毒防御,能够有效降低系统内主机被勒索病毒感染的概率,优化病毒防御效果。
附图说明
图1为本申请一示例性实施例示出的一种勒索病毒防御系统的架构示意图;
图2为本申请一示例性实施例示出的一种勒索病毒防御方法的流程示意图;
图3为本申请又一示例性实施例示出的另一种勒索病毒防御方法的流程示意图;
图4为本申请一示例性实施例示出的一种勒索病毒防御装置的结构示意图;
图5为本申请又一示例性实施例示出的另一种勒索病毒防御装置的结构示意图;
图6为本申请一示例性实施例示出的一种电子设备的硬件结构示意图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面先对本申请实施例适用的病毒防御系统的架构进行说明。
请参见图1,为本申请实施例提供的一种病毒防御系统的架构示意图,如图1所示,该病毒防御系统可以包括病毒防御平台(也可以称为病毒防护中心平台)与多个主机,该病毒防御系统中部署有用于对抗勒索病毒的软件,包括部署于病毒防御平台的中心平台软件,以及部署于主机(也可以称为防护节点)的防护节点软件。
在该病毒防御系统中,各主机可以利用防护节点软件独立进行勒索病毒检测,并当检测到勒索病毒时,向病毒防御平台的中心平台软件进行勒索病毒告警信息上报。
病毒防御平台可以基于主机上报的勒索病毒告警信息,确定病毒脚本下载路径,并对基于该下载路径发起的脚本下载请求进行拦截,从而在任一主机检测到勒索病毒的情况下,阻止还未下载病毒脚本的其它主机下载病毒脚本,从单机病毒防御扩展到整个系统的病毒防御,能够有效降低系统内主机被勒索病毒感染的概率,优化了病毒防御效果。
为了使本申请实施例的上述目的、特征和优点能够更加明显易懂,下面结合附图对本申请实施例中技术方案作进一步详细的说明。
请参见图2,为本申请实施例提供的一种勒索病毒防御方法的流程示意图,其中,该勒索病毒防御方法可以应用于病毒防御平台,如图1所示病毒防御系统中的病毒防御平台,如图2所示,该勒索病毒防御方法可以包括以下步骤:
步骤S200、接收病毒防御系统中的多个主机中的任一主机上报的勒索病毒告警信息,该勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向中心平台软件上报的。
本申请实施例中,步骤S200中的主机可以为病毒防御系统中的任一主机,如图1所示病毒防御系统中的任一主机。
本申请实施例中,主机向病毒防御平台上报勒索病毒告警信息的实现可以参见图3所示方法流程中的相关描述,本申请实施例在此不做赘述。
步骤S210、基于勒索病毒告警信息,确定病毒脚本的下载路径。
本申请实施例中,病毒防御平台接收到勒索病毒告警信息时,可以基于接收到的勒索病毒告警信息,确定病毒脚本的下载地址。
例如,主机在检测到勒索病毒时,可以确定病毒脚本的下载地址,并将该病毒脚本的下载地址携带在勒索病毒告警信息中上报给病毒防御平台。
病毒防御平台接收到勒索病毒告警信息时,可以获取该勒索病毒告警信息中携带的病毒脚本的下载地址。
步骤S220、对病毒防御系统中的多个主机中的任一主机基于该下载路径发起的脚本下载请求进行拦截。
本申请实施例中,病毒防御平台确定了病毒脚本的下载地址之后,可以对病毒防御系统中的多个主机中的任一主机基于该下载路径发起的脚本下载请求进行拦截,以阻止系统内其他主机下载该病毒脚本。
在一个示例中,若病毒防御系统内部署有专门的DNS(域名解析服务器)服务器,则病毒防御平台可以将该病毒脚本的下载路径发送给该DNS服务器,由该DNS服务器对基于该下载路径发起的脚本下载请求进行拦截。
在另一个示例中,若病毒防御系统内未部署专门的DNS服务器,系统内各主机通过代理实现域名解析,则病毒防御平台可以将该病毒脚本的下载地址发送给系统内各主机的代理,由各主机的代理对基于该下载路径发起的脚本下载请求进行拦截。
作为一种可能的实施例,步骤S220中,对病毒防御系统中的多个主机中的任一主机基于该下载路径发起的脚本下载请求进行拦截,可以包括:
将下载请求重定向至指定地址,该指定地址用于下载指定无害脚本,该指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本。
示例性的,病毒防御平台可以利用勒索病毒的传播机理,通过DNS诱导,将针对病毒脚本的下载请求重定向至指定地址。
主机发起的针对病毒脚本的下载请求可以被重定向至该指定地址,下载指定无害脚本,例如,触发主机安装补丁的脚本或/和触发主机加固病毒防护工具的脚本。
示例性的,为了降低该指定无害脚本的运行对主机运行的影响,该指定无害脚本可以为非落地脚本,主机下载该指定无害脚本之后,可以通过在内存中加载该脚本的方式实现补丁安装或/和加固病毒防护工具。
作为一种可能的实施例,步骤S200中,接收病毒防御系统中的多个主机中的任一主机上报的勒索病毒告警信息之后,还可以包括:
基于勒索病毒告警信息,确定病毒脚本关联的可以文件的指纹信息;
基于该指纹信息,阻断与该指纹信息匹配的文件的传输,或/和,阻止与该指纹信息匹配的进程的启动。
示例性的,当勒索病毒为落地脚本,即主机感染该勒索病毒之后,该主机会存在一个或多个本地文件与该病毒脚本关联。
例如,病毒脚本可以通过该一个或多个本地文件对主机中的重要数据进行加密。
病毒防御平台接收到勒索病毒告警信息时,可以确定病毒脚本关联的可疑文件的指纹信息。
示例性的,该病毒脚本关联的可疑文件的指纹信息可以由检测到勒索病毒的主机生成并携带在勒索病毒告警信息中上报给病毒防御平台。
或者,检测到勒索病毒的主机可以将与病毒脚本关联的可疑文件或/和可疑文件的信息携带在勒索病毒告警信息中上报给病毒防御平台,由病毒防御平台基于该可疑文件或/和可疑文件的信息生成可疑文件的指纹信息。
例如,可以利用MD(Message Digest Algorithm,消息摘要算法)5算法生成可疑文件的指纹信息。
病毒防御平台可以基于病毒脚本关联的可疑文件的指纹信息,阻断与指纹信息匹配的文件的传输,或/和阻止与该指纹信息匹配的进程的启动,其具体实现可以在下文中结合实例进行说明。
请参见图3,为本申请实施例提供的一种勒索病毒防御方法的流程示意图,其中,该勒索病毒防御方法可以应用于病毒防御系统中的多个主机中的任一主机,如图1所示病毒防御系统中的任一主机,如图3所示,该勒索病毒防御方法可以包括以下步骤:
步骤S300、利用本机部署的防护节点软件检测勒索病毒。
步骤S310、当检测到勒索病毒时,向病毒防御平台的中心平台软件上报勒索告警信息,以使病毒防御平台基于勒索病毒告警信息,确定病毒脚本的下载路径,并对病毒防御系统中的多个主机中的任一主机基于下载路径发起的脚本下载请求进行拦截。
本申请实施例中,病毒防御系统中的主机可以利用本机部署的防护节点软件进行勒索病毒检测,确定是否存在勒索病毒。
当检测到勒索病毒时,向病毒防御平台的中心平台软件上报勒索告警信息。
病毒防御平台接收到勒索报警信息之后的处理流程可以参见图2所示方法流程中的相关描述,本申请实施例在此不再赘述。
作为一种可能的实施例,步骤S300中,利用本机部署的防护节点软件检测勒索病毒可以包括:
对预设样本文件进行检测;
基于预设样本文件的变化情况,确定是否存在勒索病毒。
示例性的,为了减少勒索病毒检测的资源消耗,可以在主机中设置一个或多个样本文件(也可以称为诱饵),该样本文件的文件类型可以为勒索病毒访问概率比较高的文件类型,如后缀.doc文件,并放置在易于访问的位置,通过对样本文件进行监测的方式,来实现勒索病毒的检测。
例如,可以设置若干个后缀.doc的文件,放置于用户经常使用的文档、照片区 ,比如c:\document。
示例性的,样本文件的变化可以包括但不限于文件大小发生变化或文件后缀发生变化等。
在一个示例中,基于预设样本文件的变化情况,确定是否存在勒索病毒,可以包括:
对于任一样本文件,对该样本文件进行分块哈希计算,得到第一哈希值;
确定第一哈希值和第二哈希值的相似度;其中,第二哈希值为对该样本文件的原始文件按照相同的分块哈希算法计算得到的哈希值;该样本文件的原始文件为该样本文件初始设置于该主机上时的文件;
当第一哈希值和第二哈希值的相似度低于预设阈值时,确定该样本文件的变化满足预设条件;
当变化满足预设条件的样本文件的数量达到预设数量时,确定存在勒索病毒。
示例性的,为了提高勒索病毒检测的准确性,对于任一样本文件,可以预先对该样本文件的原始文件进行分块,即在将该样本文件初始设置于该主机上时,对该样本文件进行分块,并分别对每一个分块进行哈希,得到对应的哈希值(本文中称为第二哈希值),该第二哈希值用于校验样本文件的变化是否满足预设条件。
当需要进行样本文件变化校验时,主机可以对当前样本文件进行分块,并分别对每一个分块进行哈希,得到对应的哈希值(本文中称为第一哈希值)。
其中,对样本文件的原始文件进行分块和对当前样本文件进行分块的分块方式相同,且对相对应的分块进行哈希的哈希算法相同。
主机可以确定第一哈希值和第二哈希值的相似度,并当第一哈希值和第二哈希值的相似度低于预设阈值时,确定该样本文件的变化满足预设条件。
在一个示例中,可以在检测到针对样本文件的I/O(Input/output,输入/输出)操作或样本文件被加载至内存时,确定需要对该样本文件进行样本文件变化校验,确定该样本文件的变化是否满足预设条件,以降低系统资源消耗,降低对主机正常运行的影响。
在另一个示例中,可以定时或周期性地对样本进行样本文件变化校验。
当变化满足预设条件的样本文件的数量达到预设数量时,可以确定存在勒索病毒。
示例性的,为了提高勒索病毒检测的准确性,该预设数量大于一个,即主机可以在检测到多个样本文件的变化满足预设条件时,确定存在勒索病毒。
作为一种可能的实施例,本申请实施例提供的勒索病毒防御方法还可以包括:
对于任一待保护文件,对该待保护文件进行分块,以得到多个分块以及至少一个副本;待保护文件为主机上被配置为需要进行勒索病毒防护的文件;
对所得到的分块以及副本进行指定处理后,对处理后的分块以及副本进行存储;
其中,该指定处理包括以下之一或多个:
重命名、后缀随机生成。
示例性的,为了进一步保证主机中文件的安全性,对于任一待保护文件,主机可以对该待保护文件进行分块,以得到多个分块以及至少一个副本。
优选地,为了提高文件在被勒索病毒加密后恢复的概率,副本的数量可以大于等于两个。
对于分块得到的多个分块以及至少一个副本,主机可以进行指定处理。
在一个示例中,该指定处理可以包括以下之一或多个:
重命名、后缀随机生成。
主机可以将指定处理后的分块以及副本重新写入到磁盘随机位置,以完成备份。
需要说明的是,在本申请实施例中,为了进一步提高文件的安全性,还可以对上述指定处理后的分块以及副本进行加密(如随机对称加密)后重新写入磁盘随机位置。
此外,对于备份完毕的待保护文件,可以在备份页面中显示为完成备份,系统保留各分块和副本的位置、大小、哈希值、加密密钥,以确保各分块和副本的保密性和文件的完整性,便于文件恢复时提取合成。
示例性的,待保护文件的配置可以通过文件名、文件的访问路径或/和文件类型(可以基于文件后缀对文件进行分类)的配置来实现,即可以将指定文件名的文件配置为待保护文件、将指定访问路径的文件,或者,将指定文件类型的文件配置为待保护文件。
例如,用户可指定需要保护的文件类型或目录,主机根据用户的选择将磁盘内资源列出,由用户选择待保护文件。
为了使本领域技术人员更好地理解本申请实施例提供的技术方案,下面结合具体实例对本申请实施例提供的技术方案进行说明。
在该实施例在,可以在病毒防御系统中部署一套用于对抗勒索病毒的软件,包括中心平台软件和各个防护节点软件。该防护节点软件部署在需要保护的主机上,形成防护节点,保护指定数据,并感知安全环境,不间断将感知到的数据传输到病毒防御平台的部署在病毒防御平台上的中心平台软件。病毒防御平台接收感知数据,进行分析,并适时联动网络安全设备,启动网络对抗动作。
下面对病毒防御系统的具体工作机制进行说明。
病毒防御系统的具体工作机制可以包括准备阶段、感知阶段、对抗阶段以及恢复阶段。其中:
准备阶段:分别在病毒防御平台和主机上安装上述软件,用以搜集勒索病毒在网络和主机上活动的信息。为下一步的感知打下基础。
感知阶段:对网络和主机活动进行感知,发现勒索病毒活动的踪迹、趋势、特点,为对抗和恢复提供准确的信息。
对抗阶段:从网络和主机两个层面对勒索病毒的传播、活动进行拦截、限制、控制和驱逐,并搜集勒索病毒的情报并溯源,适当情况下可进一步对勒索恶意脚本进行逆向毒化和反噬。
恢复阶段:在消除病毒及其影响和威胁后,将主机上被破坏的数据和网络上对抗措施变化恢复到警报之前,优化准备阶段的不足,重新进入到感知阶段。
下面对病毒防御系统在进行勒索病毒防御的过程中的工作特点进行说明。
1、程序伪装:由于勒索病毒通常不会直接攻击系统进程和系统文件,因此,上述用于对抗勒索病毒的工具(即上述软件)可以伪装为系统进程,工具的程序文件也可以伪装为系统文件,以躲避恶意程序的发现和破坏 。
示例性的,伪装为系统进程和系统文件的工具进程和程序文件需要接受安全软件的检查和监控,但需要用户确认安全。
2、诱饵检测:考虑到勒索病毒倾向于加密某类文件的所有的实体对象。比如后缀.doc的文件。因此,工具可以随机准备若干个样本文件,存储于用户经常使用的文档、照片区 ,比如c:\document(linux系统中同理可得)。工具可以生成一个样本文件或多个样本文件(可以根据需求配置)作为诱饵文件,存储在明显位置。
勒索病毒会找到并且加密这些诱饵文件,而且几乎可以肯定的是,用户本地进程(除杀毒软件和加密软件以外),频繁访问这些诱饵文件,且对其进行读写和加密操作的,一定是勒索病毒 。
因此,通过对诱饵文件的监测,当存在勒索病毒时,可以快速发现勒索病毒的踪迹,定位其落地点。
需要说明的是,针对脚本不落地攻击,可以进一步通过网络侧的协同进行脚本毒化和溯源拦截,其具体实现在下文中进行说明。
除文件大小、文件后缀变化的监测外,从初次安装开始,工具检测指定目录内每个诱饵文件的进程访问状态和访问后诱饵文件的变化。
例如,可以利用Jaccard相似度算法,将二进制文件切分为若干小块,每一块进行哈希,然后哈希放入一个集合HT1;当检测到诱饵文件发生变化时,按照相同算法对变化后的诱饵文件进行分块哈希计算,得到HT2。对HT1与HT2进行Jaccard相似度计算,如果相似度变化大过一个限制,如相似度低于预设阈值,则表明诱饵文件已经被大规模改变,此时,可以确定存在勒索软件。
示例性的,上述针对诱饵文件的检测可以在诱饵文件被进程I/O和加载入内存时触发,以降低系统资源消耗和对主机正常运行的影响。
可见,通过设置诱饵文件,并对诱饵文件进行检测,以实现对勒索病毒的检测。由于针对诱饵文件的检测不干扰用户对主机的正常使用,也不受用户使用主机的干扰(用户通常不会对诱饵文件进行操作),与对主机中全部文件进行监控相比,有效节省了系统资源开销,且轻量级的运行也更加快速和稳定,针对性的诱饵检测也更加精确和快速。
3、智能拦截:检测到一个或多个诱饵文件(视检测的精确度)被某进程访问并发生了较大变化后,可以确定检测到勒索病毒,此时,可以激活拦截动作(也可配置为报警并继续观察记录),锁定该可疑进程,阻止其进一步运行,将该进程的内存运行区块进行提取和加密留存并上传中心平台,以备取证分析溯源。
4、报警存证:防护节点发现勒索病毒活动踪迹后,可以通过网络发送或日志记录形式进行报警,将本次攻击概况和进程信息发送给病毒防御平台。同时将捕获的恶意进程数据也发送给病毒防御平台进行集中分析。
例如,主机可以通过勒索病毒告警信息将上述信息发送给病毒防御平台的中心平台软件。
示例性的,攻击概况可以包括某进程(进程名)在某时间执行了特定操作(如更改了某几类的文件),在主机上发现了多少个勒索病毒的文件,以及文件的属性,如创建时间、后缀等。
5、关联分析:病毒防御平台搜集系统内各防护节点传来的勒索病毒告警信息,对于落地的可疑进程数据文件加密存储好,以进行下一步的逆向和沙盒分析。
6、联动拦截:基于病毒脚本位置(如病毒脚本下载路径)进行DNS拦截,使其他有漏洞的主机无法通过网络访问下载脚本。
示例性的,病毒防御平台可以与系统内DNS服务器或AD域控进行联动,实现针对病毒脚本的DNS拦截。
对于有落地文件的勒索病毒,也可联动防病毒平台提供可疑文件指纹 ,实现全网猎杀,通过杀毒体系阻止该进程的启动。对于云化平台,可在东西南北流量过滤设备中加入可疑文件的指纹和DNS情报,从而阻止其在云内横向传播。
7、无害化攻击反噬:利用恶意勒索软件的传播机理,通过DNS诱导,生成无害不落地脚本,将主机下载病毒脚本的请求重定向到指定地址,使主机可以下载指定的无害脚本,在感染主机上执行一系列包括安装补丁和加固对抗工具的动作。
示例性的,病毒防御平台可以安全的获取恶意地址的恶意脚本,留存日志并加密原始脚本和版本信息,以便进行布控、研究观察、追责和溯源。
8、数据备份:用户可指定需要保护的文件类型或目录,程序根据用户的选择将磁盘内资源列出。用户选择的文件被随机切块(一个分块的大小可以为1K~10M,并控制总体分片数不超10个,但是保留至少2个副本)、重命名,后缀随机生成,这些数据块(或随机对称加密)被重新写入到磁盘随机区域,以完成备份动作,备份完毕的文件会在备份页面显示为完成备份,系统保留这些切片的位置、大小、哈希值、加密密钥,以确保切片的保密性和文件的完整性,方便恢复时提取合成。
9、数据恢复:当部分文件被勒索病毒锁定加密,则可选择将备份的文件分片重新组装,组装后的文件将以同名但随机后缀的形式出现在恢复目录中,用户可以选择一键恢复原始后缀或删除备份数据。
以上对本申请提供的方法进行了描述。下面对本申请提供的装置进行描述:
请参见图4,为本申请实施例提供的一种勒索病毒防御装置的结构示意图,其中,该勒索病毒防御装置可以应用于上述方法实施例中的病毒防御平台,如图4所示,该勒索病毒防御装置可以包括:
接收单元,用于接收所述多个主机中的任一主机上报的勒索病毒告警信息;所述勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向所述中心平台软件上报的;
确定单元,用于基于所述勒索病毒告警信息,确定病毒脚本的下载路径;
防御单元,用于对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。
在一个实施例中,所述防御单元,具体用于将所述下载请求重定向至指定地址,所述指定地址用于下载指定无害脚本,所述指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本。
在一个实施例中,所述确定单元,还用于基于所述勒索病毒告警信息,确定病毒脚本关联的可疑文件的指纹信息;
所述防御单元,还用于基于所述指纹信息,阻断与所述指纹信息匹配的文件的传输,或/和,阻止与所述指纹信息匹配的进程的启动。
请参见图5,为本申请实施例提供的一种勒索病毒防御装置的结构示意图,其中,该勒索病毒防御装置可以应用于上述方法实施例中的主机,如图5所示,该勒索病毒防御装置可以包括:
检测单元,用于利用本机部署的防护节点软件检测勒索病毒;
防御单元,用于当检测到勒索病毒时,向病毒防御平台的中心平台软件上报勒索告警信息,以使所述病毒防御平台基于所述勒索病毒告警信息,确定病毒脚本的下载路径,并对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截。
在一个实施例中,所述检测单元,具体用于对预设样本文件进行检测;基于所述预设样本文件的变化情况,确定是否存在勒索病毒。
在一个实施例中,所述检测单元,具体用于:
对于任一样本文件,对该样本文件进行分块哈希计算,得到第一哈希值;
确定第一哈希值和第二哈希值的相似度;其中,所述第二哈希值为对该样本文件的原始文件按照相同的分块哈希算法计算得到的哈希值;该样本文件的原始文件为该样本文件初始设置于所述主机上时的文件;
当所述第一哈希值和所述第二哈希值的相似度低于预设阈值时,确定该样本文件的变化满足预设条件;
当变化满足预设条件的样本文件的数量达到预设数量时,确定存在勒索病毒。
在一个实施例中,所述防御单元,具体用于:
对于任一待保护文件,对该待保护文件进行分块,以得到多个分块以及至少一个副本;所述待保护文件为所述主机上被配置为需要进行勒索病毒防护的文件;
对所述分块以及所述副本进行指定处理后,对处理后的分块以及副本进行存储;
其中,所述指定处理包括以下之一或多个:
重命名、后缀随机生成。
在一个实施例中,所述主机上安装的防护节点软件的程序文件被伪装为系统文件,所述防护节点软件运行在所述主机上的进程被伪装为系统进程。
对应地,本申请还提供了图4或图5所示装置的硬件结构。参见图6,该硬件结构可包括:处理器和机器可读存储介质,机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现本申请上述示例公开的方法。
基于与上述方法同样的申请构思,本申请实施例还提供一种机器可读存储介质,所述机器可读存储介质上存储有若干计算机指令,所述计算机指令被处理器执行时,能够实现本申请上述示例公开的方法。
示例性的,上述机器可读存储介质可以是任何电子、磁性、光学或其它物理存储装置,可以包含或存储信息,如可执行指令、数据,等等。例如,机器可读存储介质可以是:RAM(Radom Access Memory,随机存取存储器)、易失存储器、非易失性存储器、闪存、存储驱动器(如硬盘驱动器)、固态硬盘、任何类型的存储盘(如光盘、dvd等),或者类似的存储介质,或者它们的组合。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
以上所述仅为本申请的较佳实施例而已,并不用以限制本申请,凡在本申请的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本申请保护的范围之内。
Claims (6)
1.一种勒索病毒防御方法,其特征在于,应用于病毒防御系统中的病毒防御平台,所述病毒防御系统中还包括多个主机,所述病毒防御系统中部署有用于对抗勒索病毒的软件,所述软件包括部署于所述病毒防御平台的中心平台软件,以及部署于主机的防护节点软件,所述方法包括:
接收所述多个主机中的任一主机上报的勒索病毒告警信息;所述勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向所述中心平台软件上报的;所述主机通过对预设样本文件进行检测,并基于所述预设样本文件的变化情况确定是否存在勒索病毒;所述预设样本文件包括一个或多个由所述防护节点软件生成的样本文件,所述预设样本文件作为诱饵文件存储在易于访问的位置;在检测到针对所述预设样本文件的输入/输出I/O操作或所述预设样本文件被加载至内存时,对于任一预设样本文件,当该预设样本文件的第一哈希值和第二哈希值的相似度低于预设阈值时,确定该预设样本文件的变化满足预设条件,该预设样本的第一哈希值为对该预设样本文件的当前样本文件进行分块哈希计算得到,该预设样本的第二哈希值为对该预设样本的原始文件按照相同的分块哈希算法计算得到的哈希值;当变化满足预设条件的样本的数量达到预设数量时,确定存在勒索病毒;对于任一待保护文件,所述主机对该待保护文件进行分块,以得到多个分块以及至少一个副本;所述待保护文件为所述主机上被配置为需要进行勒索病毒防护的文件;对所述分块以及所述副本进行指定处理后,对处理后的分块以及副本进行存储;其中,所述指定处理包括以下之一或多个:重命名、后缀随机生成;所述主机上安装的防护节点软件的程序文件被伪装为系统文件,所述防护节点软件运行在所述主机上的进程被伪装为系统进程;
基于所述勒索病毒告警信息,确定病毒脚本的下载路径;
对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截;其中,若所述病毒防御系统内部署有专门的域名解析服务器DNS服务器,则所述病毒防御平台将所述病毒脚本的下载路径发送给所述DNS服务器,由所述DNS服务器对基于所述下载路径发起的脚本下载请求进行拦截;
其中,所述对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截,包括:
将所述下载请求重定向至指定地址,所述指定地址用于下载指定无害脚本,所述指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本。
2.根据权利要求1所述的方法,其特征在于,所述接收所述多个主机中的任一主机上报的勒索病毒告警信息之后,还包括:
基于所述勒索病毒告警信息,确定病毒脚本关联的可疑文件的指纹信息;
基于所述指纹信息,阻断与所述指纹信息匹配的文件的传输,或/和,阻止与所述指纹信息匹配的进程的启动。
3.一种勒索病毒防御方法,其特征在于,应用于病毒防御系统中的多个主机中的任一主机,所述病毒防御系统中还包括病毒防御平台,所述病毒防御系统中部署有用于对抗勒索病毒的软件,所述软件包括部署于所述病毒防御平台的中心平台软件,以及部署于主机的防护节点软件,所述方法包括:
利用本机部署的防护节点软件检测勒索病毒;
当检测到勒索病毒时,向所述病毒防御平台的中心平台软件上报勒索告警信息,以使所述病毒防御平台基于所述勒索病毒告警信息,确定病毒脚本的下载路径,并对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截,将所述下载请求重定向至指定地址,所述指定地址用于下载指定无害脚本,所述指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本;其中,若所述病毒防御系统内部署有专门的域名解析服务器DNS服务器,则所述病毒防御平台将所述病毒脚本的下载路径发送给所述DNS服务器,由所述DNS服务器对基于所述下载路径发起的脚本下载请求进行拦截;
其中,所述利用本机部署的防护节点软件检测勒索病毒,包括:
对预设样本文件进行检测;
基于所述预设样本文件的变化情况,确定是否存在勒索病毒;所述预设样本文件包括一个或多个由所述防护节点软件生成的样本文件,所述预设样本文件作为诱饵文件存储在易于访问的位置;在检测到针对所述预设样本文件的输入/输出I/O操作或存在所述预设样本文件被加载至内存时,对于任一预设样本文件,当该预设样本文件的第一哈希值和第二哈希值的相似度低于预设阈值时,确定该预设样本文件的变化满足预设条件,该预设样本的第一哈希值为对该预设样本文件的当前样本文件进行分块哈希计算得到,该预设样本的第二哈希值为对该预设样本的原始文件按照相同的分块哈希算法计算得到的哈希值;当变化满足预设条件的样本的数量达到预设数量时,确定存在勒索病毒;
对于任一待保护文件,对该待保护文件进行分块,以得到多个分块以及至少一个副本;所述待保护文件为所述主机上被配置为需要进行勒索病毒防护的文件;
对所述分块以及所述副本进行指定处理后,对处理后的分块以及副本进行存储;
其中,所述指定处理包括以下之一或多个:
重命名、后缀随机生成;
所述主机上安装的防护节点软件的程序文件被伪装为系统文件,所述防护节点软件运行在所述主机上的进程被伪装为系统进程。
4.一种勒索病毒防御装置,其特征在于,应用于病毒防御系统中的病毒防御平台,所述病毒防御系统中还包括多个主机,所述病毒防御系统中部署有用于对抗勒索病毒的软件,所述软件包括部署于所述病毒防御平台的中心平台软件,以及部署于主机的防护节点软件,所述装置包括:
接收单元,用于接收所述多个主机中的任一主机上报的勒索病毒告警信息;所述勒索病毒告警信息为该主机利用本机部署的防护节点软件检测到勒索病毒时向所述中心平台软件上报的;所述主机通过对预设样本文件进行检测,并基于所述预设样本文件的变化情况确定是否存在勒索病毒;所述预设样本文件包括一个或多个由所述防护节点软件生成的样本文件,所述预设样本文件作为诱饵文件存储在易于访问的位置;在检测到针对所述预设样本文件的输入/输出I/O操作或存在所述预设样本文件被加载至内存时,对于任一预设样本文件,当该预设样本文件的第一哈希值和第二哈希值的相似度低于预设阈值时,确定该预设样本文件的变化满足预设条件,该预设样本的第一哈希值为对该预设样本文件的当前样本文件进行分块哈希计算得到,该预设样本的第二哈希值为对该预设样本的原始文件按照相同的分块哈希算法计算得到的哈希值;当变化满足预设条件的样本的数量达到预设数量时,确定存在勒索病毒;对于任一待保护文件,所述主机对该待保护文件进行分块,以得到多个分块以及至少一个副本;所述待保护文件为所述主机上被配置为需要进行勒索病毒防护的文件;对所述分块以及所述副本进行指定处理后,对处理后的分块以及副本进行存储;其中,所述指定处理包括以下之一或多个:重命名、后缀随机生成;所述主机上安装的防护节点软件的程序文件被伪装为系统文件,所述防护节点软件运行在所述主机上的进程被伪装为系统进程;
确定单元,用于基于所述勒索病毒告警信息,确定病毒脚本的下载路径;
防御单元,用于对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截;其中,若所述病毒防御系统内部署有专门的域名解析服务器DNS服务器,则所述病毒防御平台将所述病毒脚本的下载路径发送给所述DNS服务器,由所述DNS服务器对基于所述下载路径发起的脚本下载请求进行拦截;
所述防御单元对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截,包括:
将所述下载请求重定向至指定地址,所述指定地址用于下载指定无害脚本,所述指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本。
5.一种勒索病毒防御装置,其特征在于,应用于病毒防御系统中的多个主机中的任一主机,所述病毒防御系统中还包括病毒防御平台,所述病毒防御系统中部署有用于对抗勒索病毒的软件,所述软件包括部署于所述病毒防御平台的中心平台软件,以及部署于主机的防护节点软件,所述装置包括:
检测单元,用于利用本机部署的防护节点软件检测勒索病毒;
防御单元,用于当检测到勒索病毒时,向所述病毒防御平台的中心平台软件上报勒索告警信息,以使所述病毒防御平台基于所述勒索病毒告警信息,确定病毒脚本的下载路径,并对所述多个主机中的任一主机基于所述下载路径发起的脚本下载请求进行拦截,将所述下载请求重定向至指定地址,所述指定地址用于下载指定无害脚本,所述指定无害脚本包括用于触发主机安装补丁的脚本或/和用于触发主机加固病毒防护工具的脚本;其中,若所述病毒防御系统内部署有专门的域名解析服务器DNS服务器,则所述病毒防御平台将所述病毒脚本的下载路径发送给所述DNS服务器,由所述DNS服务器对基于所述下载路径发起的脚本下载请求进行拦截;
所述检测单元,具体用于对预设样本文件进行检测;基于所述预设样本文件的变化情况,确定是否存在勒索病毒;所述预设样本文件包括一个或多个由所述防护节点软件生成的样本文件,所述预设样本文件作为诱饵文件存储在易于访问的位置;在检测到针对所述预设样本文件的输入/输出I/O操作或存在所述预设样本文件被加载至内存时,对于任一预设样本文件,当该预设样本文件的第一哈希值和第二哈希值的相似度低于预设阈值时,确定该预设样本文件的变化满足预设条件,该预设样本的第一哈希值为对该预设样本文件的当前样本文件进行分块哈希计算得到,该预设样本的第二哈希值为对该预设样本的原始文件按照相同的分块哈希算法计算得到的哈希值;当变化满足预设条件的样本的数量达到预设数量时,确定存在勒索病毒;
所述防御单元,具体用于:
对于任一待保护文件,对该待保护文件进行分块,以得到多个分块以及至少一个副本;所述待保护文件为所述主机上被配置为需要进行勒索病毒防护的文件;
对所述分块以及所述副本进行指定处理后,对处理后的分块以及副本进行存储;
其中,所述指定处理包括以下之一或多个:
重命名、后缀随机生成;
所述主机上安装的防护节点软件的程序文件被伪装为系统文件,所述防护节点软件运行在所述主机上的进程被伪装为系统进程。
6.一种电子设备,其特征在于,该电子设备包括:
处理器和机器可读存储介质,所述机器可读存储介质存储有能够被所述处理器执行的机器可执行指令;所述处理器用于执行机器可执行指令,以实现权利要求1-3任一项所述的方法。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010741743.XA CN111625828B (zh) | 2020-07-29 | 2020-07-29 | 勒索病毒防御方法、装置及电子设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202010741743.XA CN111625828B (zh) | 2020-07-29 | 2020-07-29 | 勒索病毒防御方法、装置及电子设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN111625828A CN111625828A (zh) | 2020-09-04 |
CN111625828B true CN111625828B (zh) | 2021-02-26 |
Family
ID=72272985
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202010741743.XA Active CN111625828B (zh) | 2020-07-29 | 2020-07-29 | 勒索病毒防御方法、装置及电子设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN111625828B (zh) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116129884B (zh) * | 2023-03-29 | 2023-06-27 | 杭州海康威视数字技术股份有限公司 | 基于敏感频段调节的语音对抗样本防御方法、装置及设备 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110099095A (zh) * | 2019-02-28 | 2019-08-06 | 新华三信息技术有限公司 | 软件部署方法、装置、电子设备及计算机可读存储介质 |
CN110222508A (zh) * | 2019-06-12 | 2019-09-10 | 深圳市网心科技有限公司 | 勒索病毒防御方法、电子设备、系统及介质 |
CN110874474A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 勒索者病毒防御方法、装置、电子设备及存储介质 |
Family Cites Families (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102469146B (zh) * | 2010-11-19 | 2015-11-25 | 北京奇虎科技有限公司 | 一种云安全下载方法 |
CN103824017A (zh) * | 2012-11-19 | 2014-05-28 | 腾讯科技(深圳)有限公司 | 监控恶意程序的方法和监控平台 |
CN103905373B (zh) * | 2012-12-24 | 2018-02-16 | 珠海市君天电子科技有限公司 | 一种基于云端的拦截网络攻击的方法及其装置 |
CN105791323B (zh) * | 2016-05-09 | 2019-02-26 | 国家电网公司 | 未知恶意软件的防御方法和设备 |
CN106951781A (zh) * | 2017-03-22 | 2017-07-14 | 福建平实科技有限公司 | 勒索软件防御方法和装置 |
CN107871089B (zh) * | 2017-12-04 | 2020-11-24 | 杭州安恒信息技术股份有限公司 | 文件防护方法及装置 |
CN108616510A (zh) * | 2018-03-24 | 2018-10-02 | 张瑜 | 一种基于数字免疫的隐遁勒索病毒检测技术 |
-
2020
- 2020-07-29 CN CN202010741743.XA patent/CN111625828B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110874474A (zh) * | 2018-12-21 | 2020-03-10 | 北京安天网络安全技术有限公司 | 勒索者病毒防御方法、装置、电子设备及存储介质 |
CN110099095A (zh) * | 2019-02-28 | 2019-08-06 | 新华三信息技术有限公司 | 软件部署方法、装置、电子设备及计算机可读存储介质 |
CN110222508A (zh) * | 2019-06-12 | 2019-09-10 | 深圳市网心科技有限公司 | 勒索病毒防御方法、电子设备、系统及介质 |
Also Published As
Publication number | Publication date |
---|---|
CN111625828A (zh) | 2020-09-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109684832B (zh) | 检测恶意文件的系统和方法 | |
US11354446B2 (en) | Peer integrity checking system | |
CN109583193B (zh) | 目标攻击的云检测、调查以及消除的系统和方法 | |
US10389740B2 (en) | Detecting a malicious file infection via sandboxing | |
US7689835B2 (en) | Computer program product and computer system for controlling performance of operations within a data processing system or networks | |
US9710646B1 (en) | Malware detection using clustering with malware source information | |
US20180146009A1 (en) | Computer network security system for protecting against malicious software | |
JP2006127497A (ja) | ユーザ変更可能ファイルの効率的なホワイトリスティング | |
RU2743619C1 (ru) | Способ и система генерации списка индикаторов компрометации | |
US8060935B2 (en) | Security incident identification and prioritization | |
Kurniawan et al. | Detection and analysis cerber ransomware based on network forensics behavior | |
CN109784055B (zh) | 一种快速检测和防范恶意软件的方法和系统 | |
EP3531324B1 (en) | Identification process for suspicious activity patterns based on ancestry relationship | |
US20180343277A1 (en) | Elastic policy tuning based upon crowd and cyber threat intelligence | |
US11689567B2 (en) | Mapping an attack tree and attack prediction in industrial control and IIoT environment using hash data analytics | |
CN111625828B (zh) | 勒索病毒防御方法、装置及电子设备 | |
KR20110131627A (ko) | 악성 코드 진단 및 복구 장치, 그리고 이를 위한 단말 장치 | |
Kumar et al. | A zero-day resistant malware detection method for securing cloud using SVM and sandboxing techniques | |
US10339313B2 (en) | System and method for bypassing a malware infected driver | |
US7765593B1 (en) | Rule set-based system and method for advanced virus protection | |
Snihurov et al. | Experimental studies of ransomware for developing cybersecurity measures | |
ALESE et al. | A machine learning approach for information system security | |
CN112118204B (zh) | 一种Windows文件系统非法访问的感知方法及系统 | |
US11449610B2 (en) | Threat detection system | |
Regi et al. | Case study on detection and prevention methods in zero day attacks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |