CN113672916A - 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 - Google Patents

一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 Download PDF

Info

Publication number
CN113672916A
CN113672916A CN202110856449.8A CN202110856449A CN113672916A CN 113672916 A CN113672916 A CN 113672916A CN 202110856449 A CN202110856449 A CN 202110856449A CN 113672916 A CN113672916 A CN 113672916A
Authority
CN
China
Prior art keywords
file
suspected malicious
lasso
suffix
suffix name
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202110856449.8A
Other languages
English (en)
Inventor
高泽霖
张慧云
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Antiy Technology Group Co Ltd
Original Assignee
Antiy Technology Group Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Antiy Technology Group Co Ltd filed Critical Antiy Technology Group Co Ltd
Priority to CN202110856449.8A priority Critical patent/CN113672916A/zh
Publication of CN113672916A publication Critical patent/CN113672916A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请的实施例公开了一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备,涉及防御技术领域,为有效提高用户数据的安全性而发明。所述方法,包括:确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;监控所述疑似恶意勒索进程是否对文件进行修改;当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。本申请适用于对疑似恶意勒索软件进行防御。

Description

一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备
技术领域
本申请涉及信息防御技术领域,尤其涉及一种阻止疑似恶意勒索软件攻击的方法、装置、电子设备及可读存储介质。
背景技术
随着互联网的快速发展,人们在享受着网络带来便利的同时,也带来了安全隐患,其中,恶意勒索软件是近年来非常活跃的一类恶意代码,一旦恶意勒索软件成功执行,系统就会遭到破坏,计算机内的文件会被加密,严重威胁用户数据的安全。
发明内容
有鉴于此,本申请实施例提供一种阻止疑似恶意勒索软件攻击的方法、装置、电子设备及可读存储介质,能够有效提高用户数据的安全性。
第一方面,本申请实施例提供一种阻止疑似恶意勒索软件攻击的方法,包括:确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;监控所述疑似恶意勒索进程是否对文件进行修改;当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。
根据本申请实施例的一种具体实现方式,所述确定疑似恶意勒索进程,包括:监控目标进程在第一预定时间内对文件修改的次数;当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值,则将所述目标进程确定为疑似恶意勒索进程。
根据本申请实施例的一种具体实现方式,所述当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,包括:当监控到所述疑似恶意勒索进程对第一文件进行修改,则按照所述预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名。
根据本申请实施例的一种具体实现方式,在按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后,所述方法,还包括:监控所述恶意进程是否打开第二文件目录;若监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名;或者,若在第二预定时间内未监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名。
根据本申请实施例的一种具体实现方式,所述方法,还包括:监控所述疑似恶意勒索进程是否打开第二文件目录;若监控到所述疑似恶意勒索进程打开所述第二文件目录,则按照所述预设规则修改所述第二文件目录中的所有文件的后缀名。
根据本申请实施例的一种具体实现方式,所述按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,包括:根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则,生成新的后缀名;将所述新的后缀名与预设的标准后缀名数据库中的后缀名进行比较;当所述新的后缀名与预设的标准后缀名数据库中的后缀名不同,则使用所述新的后缀名替换未被所述疑似恶意勒索进程修改过的文件的后缀名。
根据本申请实施例的一种具体实现方式,所述方法,还包括:创建文件列表;其中,所述文件列表包括所述疑似恶意勒索进程对文件进行修改的信息;将所述疑似恶意勒索进程的信息及所述文件列表向用户发送。
第二方面,本申请实施例提供阻止疑似恶意勒索软件攻击的装置,包括:确定模块,用于确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;第一监控模块,用于监控所述疑似恶意勒索进程是否对文件进行修改;第一修改模块,用于当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。
根据本申请实施例的一种具体实现方式,所述确定模块,具体用于:监控目标进程在第一预定时间内对文件修改的次数;当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值,则将所述目标进程确定为疑似恶意勒索进程。
根据本申请实施例的一种具体实现方式,所述第一修改模块,包括:修改子模块,用于当监控到所述疑似恶意勒索进程对第一文件进行修改,则按照所述预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名。
根据本申请实施例的一种具体实现方式,所述装置,还包括:第二监控模块,用于在所述修改模块按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后,监控所述恶意进程是否打开第二文件目录;还原模块,用于若监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名;或者,所述还原模块,用于若在第二预定时间内未监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名。
根据本申请实施例的一种具体实现方式,所述装置,还包括:第三监控模块,用于监控所述疑似恶意勒索进程是否打开第二文件目录;第二修改模块,用于若监控到所述疑似恶意勒索进程打开所述第二文件目录,则按照所述预设规则修改所述第二文件目录中的所有文件的后缀名。
根据本申请实施例的一种具体实现方式,所述第一修改模块,具体用于:根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则,生成新的后缀名;将所述新的后缀名与预设的标准后缀名数据库中的后缀名进行比较;当所述新的后缀名与预设的标准后缀名数据库中的后缀名不同,则使用所述新的后缀名替换未被所述疑似恶意勒索进程修改过的文件的后缀名。
根据本申请实施例的一种具体实现方式,所述装置,还包括:创建模块,用于创建文件列表;其中,所述文件列表包括所述疑似恶意勒索进程对文件进行修改的信息;发送模块,用于将所述疑似恶意勒索进程的信息及所述文件列表向用户发送。
第三方面,本申请实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的阻止疑似恶意勒索软件攻击的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的阻止疑似恶意勒索软件攻击的方法。
本实施例的阻止疑似恶意勒索软件攻击的方法、装置、电子设备及可读存储介质,在确定与疑似恶意勒索软件对应的疑似恶意勒索进程后,监控疑似恶意勒索进程是否对文件进行修改,当监控到疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被疑似恶意勒索进程修改过的文件的后缀名,以使疑似恶意勒索进程无法识别,由于恶意勒索进程仅对某些特定类型的文件进行加密,而本实施例将未被疑似恶意勒索进程修改过的文件的后缀名进行修改,这样,疑似恶意勒索进程就无法通过后缀名识别出这些类型的文件,从而无法对这些文件进行加密,因此能够有效提高用户数据的安全性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本申请一实施例提供的阻止疑似恶意勒索软件攻击的方法的流程示意图;
图2为本申请一具体实施例提供的阻止疑似恶意勒索软件攻击的方法的流程示意图;
图3为本申请一实施例提供的阻止疑似恶意勒索软件攻击的装置的结构示意图;
图4为本申请一实施例提供的电子设备的结构示意图。
具体实施方式
下面结合附图对本申请实施例进行详细描述。应当明确,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为使本领域技术人员更好地理解本申请实施例的技术构思、实施方案和有益效果,下面通过具体实施例进行详细说明。
本申请一实施例提供的一种阻止疑似恶意勒索软件攻击的方法,包括:确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;监控所述疑似恶意勒索进程是否对文件进行修改;当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,其中,所述修改过的后缀名为非标准的后缀名,能够有效提高用户数据的安全性。
图1为本申请一实施例提供的阻止疑似恶意勒索软件攻击的方法的流程示意图,如图1所示,本实施例的阻止疑似恶意勒索软件攻击的方法,可以包括:
S101、确定疑似恶意勒索进程。
本实施例中的疑似恶意勒索进程为与疑似恶意勒索软件对应的进程。
恶意勒索进程,可加密计算机内的文件,用户如果想解密文件,就需要向攻击者交付赎金,来换取解密密钥,部分勒索软件甚至在交付赎金后,依旧不会解密文件,严重威胁到用户数据的安全。
疑似恶意勒索进程可为恶意勒索进程,也可为用户计算机中正在运行的合法进程,但是该合法进程的操作出现异常。
为了提高用户数据的安全性,有效地对恶意勒索软件进行防御,本实施例,对潜在的、可能对数据造成威胁的进程作为疑似恶意勒索进程,并对其进行监控。
S102、监控疑似恶意勒索进程是否对文件进行修改。
恶意勒索进程对文件进行加密的过程可包括打开文件、读取文件、加密文件、创建新文件和删除原有文件等操作,相应地,本实施例的对文件的修改可以包括:打开文件、读取文件、加密文件、创建新文件和/或删除文件等操作。
可选的,这些文件例如可以包括文档文件、图片、邮件等等。
对S101中确定的疑似恶意勒索进程进行监控,监控其是否对文件进行修改。
S103、当监控到疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被疑似恶意勒索进程修改过的文件的后缀名。
后缀名,也可以称为文件扩展名,是操作系统用来标记文件类型的一种机制。通常来说,一个扩展名是跟在主文件名后面的、由一个分隔符分隔。在一个像“example.txt”的文件名中,example是文件主名,txt为文件扩展名,表示这个文件是一个纯文字文件,句号“.”是文件主名与文件扩展名的分隔符号。
恶意勒索进程通常对特定的后缀名的文件进行加密,如文本文件、图片的后缀名可为.doc、.docx、.pptx、.xlsx、jpg等等。对特定的后缀名的文件进行加密时,为提高效率,仅加密文档等可能包含重要信息的文件,并且在短时间内加密系统内具有高价值的文件。为了避免系统无法正常使用,特定的后缀名不包括系统文件名,这样,可以避免加密系统文件,导致用户无法阅读勒索信的问题。
示例性的,Vovalex勒索软件家族执行后,仅加密计算机中具有表1所示的后缀名的文件,不会加密无后缀名的文件。
表1
Figure BDA0003184315140000061
Figure BDA0003184315140000071
按照预设规则将未被疑似恶意勒索进程修改过的文件的后缀名,修改为非标准的后缀名,非标准的后缀名可为系统无法识别的后缀名。
在一些例子中,预设规则可以包括:删除后缀名、在文件的原后缀名中插入预设字符、删除文件的原后缀名预设位置的字符、将文件的原后缀名预设位置的字符调整顺序和/或将文件的原后缀名的各字符替换为按照字母表顺序向前或向后数N位的字符、将文件的原后缀名修改为疑似恶意软件无法修改的文件格式等等。
示例性的,删除后缀名可将未被疑似恶意勒索进程修改过的文件的后缀名删除,如将名称为A的记事本的后缀名.txt删除。
在文件的原后缀名中插入预设字符,其中的预设字符可为预先选定的字母、数字和/或符号。预设字符的个数可为一个,也可为多个。可在文件的原后缀名中随机插入预设字符,也可按照预设的规则将字符插入到原后缀名中,例如,选定的字符为A,原后缀名为.txt,将A插入.txt的第一个字符和第二个字符之间,则修改后的后缀名为.tAxt。
删除文件的原后缀名预设位置的字符,预设位置可以为由左向右第一位置,也可为第二位置,还可为第四位置;预设位置还可以是从左向右数,奇数位的位置,或是偶数的位置。如原后缀名为.txt,删除预定位置为第一位置的字符,则修改后的后缀名为.xt。
将文件的原后缀名预设位置的字符调整顺序,如可以将第二位置处的字符调整到最右边,如原后缀名为.txt,则修改后的后缀名为.ttx。
将文件的原后缀名的各字符替换为按照字母表顺序向前或向后数N位的字符,字母表顺序可为A、B、C…Z,可以理解的是Z后面的字母为A。如用向后2位的字符替换,则当原后缀名为.txt时,替换后的后缀名为.vzv。
将文件的原后缀名修改为疑似恶意软件无法修改的文件格式,当恶意勒索进程仅对.doc后缀名进行加密时,可将该后缀名修改为除.doc外的后缀名,当然,修改后的后缀名可为系统内标准后缀名,也可为非标准的后缀名。这里的标准后缀名可以指可以被操作系统识别的文件扩展名,例如.txt,.pdf等,而非标准后缀名可以指无法被操作系统识别的文件扩展名,例如.TXTx3,pdff等。
可将文件的后缀名进行修改,在一定程度上,能够阻止疑似恶意勒索进程对文件进行修改。
在一些例子中,恶意勒索进程通常对特定的后缀名的文件进行加密,而这些特定的后缀名为标准的后缀名,相应地,恶意勒索进程对非标准的后缀名不进行加密,即非标准的后缀名的文件不是恶意勒索进程的加密对象。
在一些例子中,修改过的后缀名为非标准的后缀名。
非标准的后缀名可以为无后缀名、非常规后缀名等系统无法自动识别的后缀名。
本实施例,在确定与疑似恶意勒索软件对应的疑似恶意勒索进程后,监控疑似恶意勒索进程是否对文件进行修改,当监控到疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被疑似恶意勒索进程修改过的文件的后缀名,以使疑似恶意勒索进程无法识别,由于恶意勒索进程仅对某些特定类型的文件进行加密,而本实施例将未被疑似恶意勒索进程修改过的文件的后缀名进行修改,这样,疑似恶意勒索进程就无法通过后缀名识别出这些类型的文件,从而无法对这些文件进行加密,因此能够有效提高用户数据的安全性,此外,能够降低用户的财产损失,避免恶意勒索软件对文件进行加密后向用户索要赎金的问题,而且,本实施例的阻止疑似恶意勒索软件攻击的方法,对内存等系统资源占用少,对普通用户几乎没有影响。
由于恶意勒索软件会在短时间内对文件进行修改,而非恶意软件通常不会,基于此,为确定疑似恶意勒索进程,作为一可选实施方式,本实施例的确定疑似恶意勒索进程(S101),可以包括:
S101a、监控目标进程在第一预定时间内对文件修改的次数。
恶意勒索软件加密受害者硬盘时,需要尽快加密文件,如果完成加密文件需要花费几分钟以上,那么受害者可能会注意到其文件已被加密,而这时只需关闭计算机就可以阻止恶意勒索软件继续加密剩余文件,因此,恶意勒索软件选择加密重要文件,例如文档、表格、幻灯片等通常蕴含高价值信息的文件,这就导致恶意勒索软件通常在短短半分钟内即可完成对整个系统内文件的加密,可基于以上特点,设置第一预定时间,例如第一预设时间可为0.1秒、0.5秒或2秒等等。
目标进程可为调用与文件操作相关的API的进程。
对文件修改可以包括打开文件、读取文件、加密文件、创建新文件和/或删除文件等操作,相应地,对文件的修改次数可为打开一次文件为一次,再读取文件记为第二次数,依次类推,读取文件、加密文件、创建新文件的每个操作可记为修改的次数;当然,也可将打开文件、读取文件、加密文件、创建新文件和删除原有文件这一系列的操作记为修改次数为一次。
S101b、当目标进程在第一预定时间内对文件修改的次数大于预定阈值,则将目标进程确定为疑似恶意勒索进程。
预定阈值可根据第一预定时间的长短而设定,预定阈值可为5次、10次或20次等等。
将在第一预定时间内对文件修改的次数大于预定阈值的进程,确定为疑似恶意勒索进程。
本实施例,通过监控目标进程在第一预定时间内对文件修改的次数,当目标进程在第一预定时间内对文件修改的次数大于预定阈值,将目标进程确定为疑似恶意勒索进程,从而便于对该疑似恶意勒索进程进行有针对性的防御,减少对系统资源的占用。
本申请又一实施例,与上述实施例基本相同,不同之处在于,本实施例的当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名(S103),包括:
S103a、当监控到疑似恶意勒索进程对第一文件进行修改,则按照预设规则修改第一文件所在的第一文件目录下的、除第一文件外的各文件的后缀名。
文件目录也可以称为文件夹,可以理解的是,本实施例中的第一文件目录除包括第一文件外,还包括至少一个其它文件。
当监控到疑似恶意勒索进程对文件执行修改操作,表示疑似恶意勒索进程可能正在对修改的文件进行加密相关的操作,那么疑似恶意勒索进程接下来的目标可以是同文件目录下的其它文件,因此,需要防止疑似恶意勒索进程对这些文件进行加密相关的操作,本实施例中,可以按照预设规则修改第一文件所在的第一文件目录下的、除第一文件外的各文件的后缀名。
可以理解的是,第一文件所在的第一文件目录下的、除第一文件外的各文件中,当存在正在被其它进程使用的文件的情况下,无法对该正在被使用的文件修改后缀名,针对这样的情况,可将第一文件目录下的文件具备修改后缀名的文件能修改的尽量修改,以便最大程度地防止疑似恶意勒索进程对文件进行加密,避免用户数据受到威胁。
本申请再一实施例,与上述实施例基本相同,不同之处在于,本实施例,在按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后,所述方法,还包括:
S104、监控恶意进程是否打开第二文件目录。
在删除同文件目录下所有文件的后缀名后,当恶意勒索进程试图在同文件目录下继续寻找文件进行加密时,发现该文件目录下所有文件的后缀名与预期的后缀名不符,此时恶意勒索进程勒索软件会认为该文件目录下已经没有值得加密的文件,故选择转到其它的文件夹继续进行加密操作。
第二文件目录可以是与第一文件目录不同的文件目录。
S105、若监控到疑似恶意勒索进程打开第二文件目录,则根据第一文件目录下的、除第一文件外的各文件的修改前的后缀名,还原第一文件目录下的除第一文件外的各文件的后缀名。
当监控到疑似恶意勒索进程打开第二文件目录时,说明疑似恶意勒索进程已经认为第一文件目录里有价值的文件已经加密完毕,开始准备加密第二文件目录下的文件。
为了保证系统的正常运行不受到影响,将修改过后缀名的文件的后缀名进行还原,例如在第一文件目录中除第一文件外还包括文件名称为A,修改前的后缀名为.txt,由于在S103a中将.txt已经进行了修改,那么在本实施例中,将文件A的后缀名还原为.txt。
S106、若在第二预定时间内未监控到疑似恶意勒索进程打开第二文件目录,则根据第一文件目录下的、除第一文件外的各文件的修改前的后缀名,还原第一文件目录下的除第一文件外的各文件的后缀名。
同样,为了保证系统的正常运行不受到影响,当在第二预定时间内未监控到疑似恶意勒索进程打开第二文件目录,按照S105类似的方式,还原第一文件目录下的、除第一文件外的各文件的后缀名。
为进一步保证其它文件目录下文件的安全,本申请再一实施例,与上述实施例基本相同,不同之处在于,本实施例的方法,还包括:
S107、监控疑似恶意勒索进程是否打开第二文件目录。
S108、若监控到疑似恶意勒索进程打开第二文件目录,则按照预设规则修改第二文件目录中的所有文件的后缀名。
为了进一步地提高修改后缀名后的文件的安全性,在一些例子中,按照预设规则修改未被疑似恶意勒索进程修改过的文件的后缀名,包括:
A、根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则,生成新的后缀名。
B、将新的后缀名与预设的标准后缀名数据库中的后缀名进行比较。
预设的标准后缀名数据库中包括系统中常用的后缀名,例如预设的标准后缀名数据库中可以包括:.docx、.pptx、.xlsx、.xbap、.xps、.pdf、.pot、.hta、.xlt、.pps、.xlw、.dot、.rtf、.ppt、.xls、.doc、.xml、.html、.htm,可以理解的是,本领域技术人员熟知的后缀名均可存在于预设的标准后缀名数据库中。
C、当新的后缀名与预设的标准后缀名数据库中的后缀名不同,则使用新的后缀名修改未被疑似恶意勒索进程修改过的文件的后缀名。
例如,未被疑似恶意勒索进程修改过的文件的后缀名为.txt,根据预设规则生成的新的后缀名为.xtt,并与预设的标准后缀名数据库中的后缀名比较,.xtt与预设的标准后缀名数据库中后缀名均不相同,则使用.xtt后缀名替换.txt后缀名。
为了便于用户对疑似恶意勒索进程采取相应的措施,在一些例子中,所述方法,还包括:
S109、创建文件列表。
其中,文件列表包括疑似恶意勒索进程对文件进行修改的信息,例如可以包括疑似恶意勒索进程对哪些文件夹以及哪些文件进行修改的信息。
S110、将疑似恶意勒索进程的信息及文件列表向用户发送。
疑似恶意勒索进程的信息可以包括疑似恶意勒索进程的名称、版本号、所属的软件名称等等信息。
本实施例,将疑似恶意勒索进程的信息及文件列表向用户发送,用户可以分析收到的信息,判断疑似恶意勒索进程是否为真正的恶意勒索进程,如果是,可以根据该恶意勒索进程的信息,采取适当的措施以提升数据的安全性。
本申请一实施例中,当监测到规定时间内修改文件次数超过用户自定义的阈值,判断可能存在恶意勒索软件行为。此时如果该勒索软件创建的进程继续进行加密文件操作,则删除即将被加密文件目录下所有文件的后缀名。示例性的,Vovalex勒索软件由于未检测到包含指定后缀名的文件,所以不会加密无后缀名的文件。故Vovalex勒索软件打开其它文件夹,寻找包含指定后缀名的文件,此时还原上个文件目录下的所有文件的后缀名,并且删除新打开的文件目录下文件的后缀名。重复这个操作,直到Vovalex勒索软件将所有目录都遍历一遍,不再进行打开新的文件目录的操作,此时还原最后打开文件目录下所有文件后缀名。此时创建被修改的文件列表,接着告知用户发现可疑进程并发送文件列表。
下面以一具体实施例,对本申请的方案进行详细说明。
参见图2,本实施例的阻止疑似恶意勒索软件攻击的方法,可以包括:
步骤1、监视文件活动情况。
可以监测进程修改文件的活动次数。
步骤2、监测到规定时间内修改文件次数超过阈值。
用户自定义一个阈值,如果规定时间内修改文件次数超过该阈值,则视为可能存在恶意勒索软件行为。
勒索软件通常采用对称+非对称的加密方式对文件进行加密,对称加密是大多数人都熟悉的加密技术,其使用同一个密钥来加密或解密数据,常用于zip文件或Office文档之类的加密。非对称加密算法需要两个密钥:公开密钥(publickey:简称公钥)和私有密钥(privatekey:简称私钥)。公钥与私钥是一对,如果用公钥对数据进行加密,只有用对应的私钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。以“AES+RSA”举例,即加密时从C&C服务器申请一个RSA公钥,并生成一个随机的AES密钥,并用RSA算法加密,最后使用AES密钥和AES对称加密算法加密受害者的文件。但是AES加密算法加密速度并不快,通过测试,当使用AES-256加密时,初始基准测试显示加密速度约为每分钟1GB左右,虽然这其中可能受到了硬件的限制,但是还不能满足勒索软件的需求。
勒索软件加密受害者硬盘时,需要尽快加密所有内容,如果完成加密文件需要要花费几分钟以上,那么受害者可能会注意到其文件已被加密,而这时只需关闭计算机就可以阻止勒索软件继续加密剩余文件,所以勒索软件选择加密重要文件,例如文档、表格、幻灯片等通常蕴含高价值信息的文件。这就导致勒索软件通常在短短半分钟内就能完成对整个系统内文件的加密,而非恶意软件通常达不到。故用户可以设置一个阈值,是否存在短时间内进行了多次文件内容的修改。
当监测到规定时间内修改文件次数超过阈值,可以怀疑存在恶意勒索软件正在运行,此时将其标识为可能的恶意活动,开始执行后续的防御策略,避免勒索软件加密更多的文件。
例如,如果攻击者遍历文件夹中的文件尝试加密,此时用户可将在一定时间内的操作次数的阈值定义为5,则在5次加密之后,执行后续流程。
步骤3、监控多次修改文件的进程。
监控多次修改文件的进程,根据该进程接下来对文件读、写、加密等操作,执行以下步骤。
将进行多次修改文件操作的进程标识为潜在的勒索软件进程,并对其进程行为进行监控,观察其接下来的操作,根据该进程接下来的文件读、写、加密等操作,决定接下来的处理流程。
步骤4、监控到该进程执行修改文件的操作。
当监控到潜在勒索软件进程执行修改文件的操作,表示它正在对修改的文件进行加密,说明它接下来的目标就是同文件目录下的其它文件,此时我们需要防止它对这些文件进行加密。
步骤5、删除同文件目录下所有文件的后缀名。
删除同文件目录下所有文件的后缀名,当勒索软件进程想继续寻找文件进行加密时,发现该文件目录下所有文件的后缀名都与预期的不符,此时勒索软件会认为该文件目录下已经没有值得加密的文件,故选择转到其它的文件夹继续进行加密操作。
步骤6、该进程打开其它目录。
监控该进程是否打开其它目录的操作,当监控到该进程打开其它目录则执行步骤7。
步骤7、还原上个文件目录下所有文件后缀名。
当监控到该进程打开其他目录的操作时,说明勒索软件已经认为上一个目录里有价值的文件已经加密完毕,开始准备加密此目录下的文件,此时,还原上个文件目录下其它文件后缀名,保证系统的正常运作不会受到影响。
步骤8、删除勒索软件进程新打开的文件目录下所有文件的后缀名。
删除勒索软件进程新打开的文件目录下所有文件的后缀名,这样,疑似恶意勒索软件不对新打开的文件目录下所有文件进行加密,保证文件目录下文件的安全。
步骤9、继续监测该进程是否存在打开其它目录的操作。
如果该进程还在不断打开新的目录,说明还在继续遍历系统内文件,寻找值得加密的高价值文件,故跳转到7。
步骤10、还原最后打开文件目录下所有文件的后缀名。
如果该进程在一定时间内不再打开其它文件目录,则还原最后打开文件目录下所有文件的后缀名,在一些例子中,该进程已将系统内所有文件目录全部遍历一遍,停止打开目录的操作,可以视为加密已经结束,此时,也可还原最后打开文件目录下所有文件的后缀名。
步骤11、创建被修改的文件列表。
步骤12、告知用户发现可疑进程并发送文件列表。
本实施例,通过在勒索软件执行加密操作前,修改勒索软件将要加密文件的后缀名,实现对其检测和防御,对内存占用少,对于系统性能影响更小,保护计算机的安全,此外,本发明不需要基于特征检测勒索软件,具有一定通用性。
本申请一实施例提供的阻止疑似恶意勒索软件攻击的装置,包括:确定模块,用于确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;第一监控模块,用于监控所述疑似恶意勒索进程是否对文件进行修改;第一修改模块,用于当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,能够有效提高用户数据的安全性。
图3为本申请一实施例提供的阻止疑似恶意勒索软件攻击的装置的结构示意图,如图3所示,本实施例的阻止疑似恶意勒索软件攻击的装置,包括:确定模块11,用于确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;第一监控模块12,用于监控所述疑似恶意勒索进程是否对文件进行修改;第一修改模块13,用于当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
本实施例的装置,在确定与疑似恶意勒索软件对应的疑似恶意勒索进程后,监控疑似恶意勒索进程是否对文件进行修改,当监控到疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被疑似恶意勒索进程修改过的文件的后缀名,以使疑似恶意勒索进程无法识别,由于恶意勒索进程仅对某些特定类型的文件进行加密,而本实施例将未被疑似恶意勒索进程修改过的文件的后缀名进行修改,这样,疑似恶意勒索进程就无法通过后缀名识别出这些类型的文件,从而无法对这些文件进行加密,因此能够有效提高用户数据的安全性,此外,能够降低用户的财产损失,避免恶意勒索软件对文件进行加密后向用户索要赎金的问题,而且,本实施例的阻止疑似恶意勒索软件攻击的方法,对内存等系统资源占用少,对普通用户几乎没有影响。
作为一可选实施方式,所述确定模块,具体用于:监控目标进程在第一预定时间内对文件修改的次数;当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值,则将所述目标进程确定为疑似恶意勒索进程。
作为一可选实施方式,所述第一修改模块,包括:修改子模块,用于当监控到所述疑似恶意勒索进程对第一文件进行修改,则按照所述预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名。
作为一可选实施方式,所述装置,还包括:第二监控模块,用于在所述修改模块按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后,监控所述恶意进程是否打开第二文件目录;还原模块,用于监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名;所述还原模块,还用于当在第二预定时间内未监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名。
作为一可选实施方式,所述装置,还包括:第三监控模块,用于监控所述疑似恶意勒索进程是否打开第二文件目录;第二修改模块,用于当在第二预定时间内监控到所述疑似恶意勒索进程打开所述第二文件目录,则按照所述预设规则修改所述第二文件目录中的所有文件的后缀名。
作为一可选实施方式,所述第一修改模块,具体用于:根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则,生成新的后缀名;将所述新的后缀名与预设的标准后缀名数据库中的后缀名进行比较;当所述新的后缀名与预设的标准后缀名数据库中的后缀名不同,则使用所述新的后缀名替换未被所述疑似恶意勒索进程修改过的文件的后缀名。
作为一可选实施方式,所述修改过的后缀名为非标准的后缀名。
作为一可选实施方式,所述装置,还包括:创建模块,用于创建文件列表;其中,所述文件列表包括所述疑似恶意勒索进程对文件进行修改的信息;发送模块,用于将所述疑似恶意勒索进程的信息及所述文件列表向用户发送。
上述实施例的装置,可以用于执行上述方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图4为本申请一实施例提供的电子设备的结构示意图,如图4所示,可以包括:壳体61、处理器62、存储器63、电路板64和电源电路65,其中,电路板64安置在壳体61围成的空间内部,处理器62和存储器63设置在电路板64上;电源电路65,用于为上述电子设备的各个电路或器件供电;存储器63用于存储可执行程序代码;处理器62通过读取存储器63中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述实施例提供的任一种阻止疑似恶意勒索软件攻击方法,因此也能实现相应的有益技术效果,前文已经进行了详细说明,此处不再赘述。
上述电子设备以多种形式存在,包括但不限于:
(1)移动通信设备:这类设备的特点是具备移动通信功能,并且以提供话音、数据通信为主要目标。这类终端包括:智能手机(例如iPhone)、多媒体手机、功能性手机,以及低端手机等。
(2)超移动个人计算机设备:这类设备属于个人计算机的范畴,有计算和处理功能,一般也具备移动上网特性。这类终端包括:PDA、MID和UMPC设备等,例如iPad。
(3)便携式娱乐设备:这类设备可以显示和播放多媒体内容。该类设备包括:音频、视频播放器(例如iPod),掌上游戏机,电子书,以及智能玩具和便携式车载导航设备。
(4)服务器:提供计算服务的设备,服务器的构成包括处理器、硬盘、内存、系统总线等,服务器和通用的计算机架构类似,但是由于需要提供高可靠的服务,因此在处理能力、稳定性、可靠性、安全性、可扩展性、可管理性等方面要求较高。
(5)其他具有数据交互功能的电子设备。
相应的,本申请的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述实施例提供的任一种阻止疑似恶意勒索软件攻击方法,因此也能实现相应的技术效果,前文已经进行了详细说明,此处不再赘述。
本实施例的阻止疑似恶意勒索软件攻击的方法、装置、电子设备及可读存储介质,通过按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,便于提高用户数据的安全性,将修改文件次数超过预定阈值的进程确定为疑似进程,这样,能够对该疑似恶意勒索进程进行有针对性的防御,减少对系统资源的占用,按照预设规则修改第一文件所在的第一文件目录下的、除第一文件外的各文件的后缀名,能够快速准确地提高对同文件目录下的其它文件的安全性,在打开第二文件目录的情况下,或在预定时间内不打开第二文件目录的情况下,对第一文件目录下的文件后缀名进行还原,能够保证系统的正常运行不受到影响,为进一步保证其它文件目录下文件的安全,对打开的第二文件目录下的所有文件进行文件后缀名的修改,将修改后的后缀名与预设的标准后缀名数据库中的后缀名进行比较,能够提高修改后缀名后的文件的安全性,进一步保证修改后的后缀名不是疑似恶意勒索软件的加密目标,将疑似恶意勒索进程的信息及文件列表向用户发送,便于用户根据收到的数据进行分析以采取适当的措施。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本申请时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。

Claims (16)

1.一种阻止疑似恶意勒索软件攻击的方法,其特征在于,包括:
确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;
监控所述疑似恶意勒索进程是否对文件进行修改;
当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。
2.根据权利要求1所述的方法,其特征在于,所述确定疑似恶意勒索进程,包括:
监控目标进程在第一预定时间内对文件修改的次数;
当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值,则将所述目标进程确定为疑似恶意勒索进程。
3.根据权利要求1所述的方法,其特征在于,所述当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,包括:
当监控到所述疑似恶意勒索进程对第一文件进行修改,则按照所述预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名。
4.根据权利要求3所述的方法,其特征在于,在按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后,所述方法,还包括:
监控所述恶意进程是否打开第二文件目录;
若监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名;
或者,
若在第二预定时间内未监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名。
5.根据权利要求3所述的方法,其特征在于,所述方法,还包括:
监控所述疑似恶意勒索进程是否打开第二文件目录;
若监控到所述疑似恶意勒索进程打开所述第二文件目录,则按照所述预设规则修改所述第二文件目录中的所有文件的后缀名。
6.根据权利要求1所述的方法,其特征在于,所述按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名,包括:
根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则,生成新的后缀名;
将所述新的后缀名与预设的标准后缀名数据库中的后缀名进行比较;
当所述新的后缀名与预设的标准后缀名数据库中的后缀名不同,则使用所述新的后缀名替换未被所述疑似恶意勒索进程修改过的文件的后缀名。
7.根据权利要求1所述的方法,其特征在于,所述方法,还包括:
创建文件列表;其中,所述文件列表包括所述疑似恶意勒索进程对文件进行修改的信息;
将所述疑似恶意勒索进程的信息及所述文件列表向用户发送。
8.一种阻止疑似恶意勒索软件攻击的装置,其特征在于,包括:
确定模块,用于确定疑似恶意勒索进程;其中,所述疑似恶意勒索进程为与疑似恶意勒索软件对应的进程;
第一监控模块,用于监控所述疑似恶意勒索进程是否对文件进行修改;
第一修改模块,用于当监控到所述疑似恶意勒索进程对文件进行修改,则按照预设规则修改未被所述疑似恶意勒索进程修改过的文件的后缀名。
9.根据权利要求8所述的装置,其特征在于,所述确定模块,具体用于:
监控目标进程在第一预定时间内对文件修改的次数;
当所述目标进程在所述第一预定时间内对文件修改的次数大于预定阈值,则将所述目标进程确定为疑似恶意勒索进程。
10.根据权利要求8所述的装置,其特征在于,所述第一修改模块,包括:
修改子模块,用于当监控到所述疑似恶意勒索进程对第一文件进行修改,则按照所述预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名。
11.根据权利要求10所述的装置,其特征在于,所述装置,还包括:
第二监控模块,用于在所述修改模块按照预设规则修改所述第一文件所在的第一文件目录下的、除所述第一文件外的各文件的后缀名之后,监控所述恶意进程是否打开第二文件目录;
还原模块,用于若监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名;或者,
所述还原模块,用于若在第二预定时间内未监控到所述疑似恶意勒索进程打开所述第二文件目录,则根据所述第一文件目录下的、除所述第一文件外的各文件的修改前的后缀名,还原所述第一文件目录下的除所述第一文件外的各文件的后缀名。
12.根据权利要求10所述的装置,其特征在于,所述装置,还包括:
第三监控模块,用于监控所述疑似恶意勒索进程是否打开第二文件目录;
第二修改模块,用于若监控到所述疑似恶意勒索进程打开所述第二文件目录,则按照所述预设规则修改所述第二文件目录中的所有文件的后缀名。
13.根据权利要求8所述的装置,其特征在于,所述第一修改模块,具体用于:
根据未被所述疑似恶意勒索进程修改过的文件的后缀名和预设规则,生成新的后缀名;
将所述新的后缀名与预设的标准后缀名数据库中的后缀名进行比较;
当所述新的后缀名与预设的标准后缀名数据库中的后缀名不同,则使用所述新的后缀名替换未被所述疑似恶意勒索进程修改过的文件的后缀名。
14.根据权利要求8所述的装置,其特征在于,所述装置,还包括:
创建模块,用于创建文件列表;其中,所述文件列表包括所述疑似恶意勒索进程对文件进行修改的信息;
发送模块,用于将所述疑似恶意勒索进程的信息及所述文件列表向用户发送。
15.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述权利要求1-7任一项所述的阻止疑似恶意勒索软件攻击的方法。
16.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述权利要求1-7任一项所述的阻止疑似恶意勒索软件攻击的方法。
CN202110856449.8A 2021-07-28 2021-07-28 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备 Pending CN113672916A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202110856449.8A CN113672916A (zh) 2021-07-28 2021-07-28 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202110856449.8A CN113672916A (zh) 2021-07-28 2021-07-28 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备

Publications (1)

Publication Number Publication Date
CN113672916A true CN113672916A (zh) 2021-11-19

Family

ID=78540383

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202110856449.8A Pending CN113672916A (zh) 2021-07-28 2021-07-28 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备

Country Status (1)

Country Link
CN (1) CN113672916A (zh)

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106570396A (zh) * 2016-12-29 2017-04-19 哈尔滨安天科技股份有限公司 一种防止勒索软件加密数据的方法及系统
CN107729752A (zh) * 2017-09-13 2018-02-23 中国科学院信息工程研究所 一种勒索软件防御方法及系统
CN108038379A (zh) * 2017-12-29 2018-05-15 北京长御科技有限公司 一种防勒索软件攻击的方法和系统
CN109784055A (zh) * 2018-12-29 2019-05-21 上海高重信息科技有限公司 一种快速检测和防范恶意软件的方法和系统
CN110866248A (zh) * 2018-11-28 2020-03-06 北京安天网络安全技术有限公司 一种勒索病毒识别方法、装置、电子设备及存储介质
CN112651023A (zh) * 2020-12-29 2021-04-13 南京联成科技发展股份有限公司 一种用于检测和阻止恶意勒索软件攻击的方法

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106570396A (zh) * 2016-12-29 2017-04-19 哈尔滨安天科技股份有限公司 一种防止勒索软件加密数据的方法及系统
CN107729752A (zh) * 2017-09-13 2018-02-23 中国科学院信息工程研究所 一种勒索软件防御方法及系统
CN108038379A (zh) * 2017-12-29 2018-05-15 北京长御科技有限公司 一种防勒索软件攻击的方法和系统
CN110866248A (zh) * 2018-11-28 2020-03-06 北京安天网络安全技术有限公司 一种勒索病毒识别方法、装置、电子设备及存储介质
CN109784055A (zh) * 2018-12-29 2019-05-21 上海高重信息科技有限公司 一种快速检测和防范恶意软件的方法和系统
CN112651023A (zh) * 2020-12-29 2021-04-13 南京联成科技发展股份有限公司 一种用于检测和阻止恶意勒索软件攻击的方法

Similar Documents

Publication Publication Date Title
Jain et al. A survey of phishing attack techniques, defence mechanisms and open research challenges
Nurse Cybercrime and you: How criminals attack and the human factors that they seek to exploit
Bojinov et al. Kamouflage: Loss-resistant password management
Deibert et al. Access controlled: The shaping of power, rights, and rule in cyberspace
US8429421B2 (en) Server-side encrypted pattern matching
US8631494B2 (en) Method and device for scanning data for signatures prior to storage in a storage device
CN108875364B (zh) 未知文件的威胁性判定方法、装置、电子设备及存储介质
Pantic et al. Covert botnet command and control using twitter
US11184163B2 (en) Value comparison server, value comparison encryption system, and value comparison method
Chakraborty et al. On designing a modified-UI based honeyword generation approach for overcoming the existing limitations
CN113973012B (zh) 一种威胁检测方法、装置、电子设备及可读存储介质
Hosseinzadeh et al. Security and privacy in cloud computing via obfuscation and diversification: A survey
Ali et al. Data loss prevention by using MRSH-v2 algorithm
CN115473702A (zh) 一种基于在线交互式web动态防御的内容混淆方法
CN117235761B (zh) 一种基于云计算的数据安全处理方法、系统和存储介质
Chakraborty et al. On designing a questionnaire based honeyword generation approach for achieving flatness
CN109284608B (zh) 勒索软件的识别方法、装置和设备、安全处理方法
CN110740117A (zh) 仿冒域名检测方法、装置、电子设备及存储介质
JP2002135247A (ja) デジタル情報保管方法
CN113672916A (zh) 一种阻止疑似恶意勒索软件攻击的方法、装置及电子设备
Bethencourt et al. Analysis-resistant malware
Diffie Information security: 50 years behind, 50 years ahead
Ihtesham et al. Privacy preserving and serverless homomorphic-based searchable encryption as a service (SEaaS)
Haraszti Access controlled: The shaping of power, rights, and rule in cyberspace
Chakraborty et al. Honeyword-based Authentication Techniques for Protecting Passwords: A Survey

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination