CN115189944A - 勒索病毒拦截方法、装置、电子设备及存储介质 - Google Patents

勒索病毒拦截方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN115189944A
CN115189944A CN202210806879.3A CN202210806879A CN115189944A CN 115189944 A CN115189944 A CN 115189944A CN 202210806879 A CN202210806879 A CN 202210806879A CN 115189944 A CN115189944 A CN 115189944A
Authority
CN
China
Prior art keywords
key certificate
user
api
preset
sending
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210806879.3A
Other languages
English (en)
Inventor
刘志诚
贺志强
蒋自立
孟鹏
谢伊然
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hillstone Networks Co Ltd
Original Assignee
Hillstone Networks Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hillstone Networks Co Ltd filed Critical Hillstone Networks Co Ltd
Priority to CN202210806879.3A priority Critical patent/CN115189944A/zh
Publication of CN115189944A publication Critical patent/CN115189944A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1441Countermeasures against malicious traffic
    • H04L63/145Countermeasures against malicious traffic the attack involving the propagation of malware through the network, e.g. viruses, trojans or worms
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0823Network architectures or network communication protocols for network security for authentication of entities using certificates
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2107File encryption

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Virology (AREA)
  • Storage Device Security (AREA)

Abstract

本申请提供一种勒索病毒拦截方法、装置、电子设备及存储介质。该勒索病毒拦截方法包括:监测操作系统中各进程的API调用情况;当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息,其中,所述预设API为所述操作系统中用于生成密钥证书的接口。通过该方法,能在勒索病毒进程调用预设API生成密钥时,就对该勒索病毒进程拦截,避免在勒索病毒已大量的删除和修改文件后,才发现该勒索病毒,从而能及时拦截勒索病毒,且通过向用户发出是否终止进程的提示消息,让用户判断该进程是否为勒索病毒进程,能避免将用户的某些操作确定为勒索病毒进程,从而能降低误报率。

Description

勒索病毒拦截方法、装置、电子设备及存储介质
技术领域
本申请涉及网络安全领域,具体而言,涉及一种勒索病毒拦截方法、装置、电子设备及存储介质。
背景技术
目前,通常是通过检查文件操作记录来判断用户主机是否发生了勒索事件,或判断一个可疑软件是否为勒索病毒,即若存在大量的文件被删除和修改,则判断主机发生了勒索事件,并判断某个进程是勒索病毒进程。但大量的文件被删除和修改仅是勒索病毒存在时可能的一种表现,故通过文件操作记录无法准确的和及时的拦截勒索病毒。
发明内容
本申请实施例的目的在于提供一种勒索病毒拦截方法、装置、电子设备及存储介质,以准确、及时的对勒索病毒进行拦截。
本发明是这样实现的:
第一方面,本申请实施例提供一种勒索病毒拦截方法,所述方法包括:监测操作系统中各进程的API调用情况;当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息,其中,所述预设API为所述操作系统中用于生成密钥证书的接口。
在本申请实施例中,因勒索病毒生成密钥的方式通常是通过调用操作系统提供的预设API生成密钥,故在检测到某一进程调用该预设API时,则表示可能是勒索病毒进程在调用预设API生成密钥;此时,向用户发出是否终止该进程的提示消息,使用户判断该进程是否是由用户自身操作发起的,或该进程为勒索病毒进程,从而判断是否要终止该进程。通过上述方式,能在勒索病毒进程调用预设API生成密钥时,就对该勒索病毒进程拦截,避免在勒索病毒已大量的删除和修改文件后,才发现该勒索病毒,从而能及时、准确地拦截勒索病毒。此外,通过向用户发出是否终止进程的提示消息,让用户判断该进程是否为勒索病毒进程,能避免将用户的某些操作确定为勒索病毒进程,从而能降低误报率。
结合上述第一方面提供的技术方案,在第一种可能的实现方式中,在所述存在任一进程调用预设API时,所述方法还包括:获取所述预设API的参数,所述参数包括指向所述密钥证书的指针和所述密钥证书的长度;根据所述参数,获取所述密钥证书;将所述密钥证书、所述密钥证书对应的终端信息和发送时间发送至安装有所述操作系统的终端所在局域网中的控制中心。
在本申请实施例中,当存在任一进程调用预设API时,则有可能是勒索病毒进程在调用预设API以生成密钥。此时,通过上述方式,能将该进程调用预设API时产生的密钥证书在终端外的控制中心进行保存,从而在发生勒索事件时,能根据保存至控制中心的终端信息和发送时间,查找到对应的密钥证书,以利用该密钥证书对加密后的文件进行解密。
结合上述第一方面提供的技术方案,在第二种可能的实现方式中,所述方法还包括:若所述用户拒绝终止调用所述预设API的进程,则监测该进程删除文件和修改文件的操作;若所述操作的个数大于预设个数,则向所述用户再次发出所述提示消息。
在本申请实施例中,若用户拒绝终止调用预设API的进程,则表示该进程为用户自身发起的进程,但也可能是用户选择错误。因此,此时监测该进程删除文件和修改文件的操作,在操作的总个数大于预设个数时,向用户再次发出是否终止该进程的提示消息,能提醒用户再次判断该进程是否为勒索病毒进程,从而能避免用户在第一次误判进程的情况下,勒索病毒进程对系统各文件进行加密,从而能有效阻止勒索事件的发生。
结合上述第一方面提供的技术方案,在第三种可能的实现方式中,所述方法还包括:若所述用户再次拒绝终止调用所述预设API的进程,则记录该进程删除文件和修改文件的所有信息;在该进程结束后,将所述所有信息发送至所述控制中心。
在本申请实施例中,若用户再次拒绝终止调用预设API的进程,则表示该进程为用户自身发起的,但也有可能是用户选择错误。因此,此时记录该进程删除和修改文件的所有信息;在该进程结束后,将信息发送至控制中心,能将该所有信息保存至控制中心,从而能在用户在第二次误判进程的情况下,通过保存的密钥证书和勒索进程删除、修改文件的所有信息,对被勒索病毒加密后的文件进行解密。并且,通过密钥证书和所有信息的配合,能更快的完成对被勒索病毒加密后的文件的解密,从而能提高解密的效率。
结合上述第一方面提供的技术方案,在第四种可能的实现方式中,所述方法还包括:若所述用户拒绝终止调用所述预设API的进程,则监测该进程删除文件和修改文件的操作;若所述操作的个数大于预设个数,则向所述用户再次发出所述提示消息。
结合上述第一方面提供的技术方案,在第五种可能的实现方式中,在所述监测操作系统中各进程的API调用情况之前,所述方法还包括:接收用于对勒索病毒进行拦截的指令。
在本申请实施例中,在用户选择开启勒索病毒拦截时,开始监测操作系统中各进程的API调用情况,能够按照用户的需求为用户提供相应的勒索病毒拦截的保护。
第二方面,本申请实施例提供一种勒索病毒拦截装置,所述装置包括:监测模块,用于监测操作系统中各进程的API调用情况;拦截模块,用于当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息,其中,所述预设API为所述操作系统中用于生成密钥证书的接口。
结合上述第二方面提供的技术方案,在一些可能的实现方式中,所述装置还包括:获取模块,用于获取所述预设API的参数,所述参数包括指向所述密钥证书的指针和所述密钥证书的长度;根据所述参数,获取所述密钥证书;发送模块,用于将所述密钥证书、所述密钥证书对应的终端信息和发送时间发送至安装有所述操作系统的终端所在局域网中的控制中心。
第三方面,本申请实施例提供一种电子设备,包括:处理器和存储器,所述处理器和所述存储器连接;所述存储器用于存储程序;所述处理器用于调用存储在所述存储器中的程序,执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
第四方面,本申请实施例提供一种计算机可读存储介质,其上存储有计算机程序,所述计算机程序在被处理器运行时执行如上述第一方面实施例和/或结合上述第一方面实施例的一些可能的实现方式提供的方法。
附图说明
为了更清楚地说明本申请实施例的技术方案,下面将对本申请实施例中所需要使用的附图作简单地介绍,应当理解,以下附图仅示出了本申请的某些实施例,因此不应被看作是对范围的限定,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他相关的附图。
图1为本申请实施例提供的一种勒索病毒拦截方法的步骤流程图。
图2为本申请实施例提供的一种勒索病毒拦截方法的流程图。
图3为本申请实施例提供的一种勒索病毒拦截装置的模块框图。
图4为本申请实施例提供的一种电子设备的模块框图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行描述。
鉴于现有技术无法准确和及时的拦截勒索病毒,本申请发明人经过研究探索,提出以下实施例以解决上述问题。
以下结合图1对一种勒索病毒拦截方法的具体流程及步骤进行描述。本申请实施例提供一种勒索病毒拦截方法,可应用于各类终端,比如:计算机、平板电脑等。
需要说明的是,本申请实施例提供的勒索病毒拦截方法不以图1及以下所示的顺序为限制。
步骤S101:监测操作系统中各进程的API(Application Programming Interface,应用程序编程接口)调用情况。
需要说明的是,在操作系统中预先设置有一个监测软件,该监测软件用于实时监测该操作系统中各进程的API调用情况。
在步骤S101之前,勒索病毒拦截方法还可包括:接收用于对勒索病毒进行拦截的指令。
在本申请实施例中,在用户选择开启勒索病毒拦截时,开始监测操作系统中各进程的API调用情况,能够按照用户的需求为用户提供相应的勒索病毒拦截的保护。需要说明的是,用户可通过在安装有上述操作系统的终端的显示界面上,选择开启勒索病毒拦截的按钮,从而开启勒索病毒拦截。
步骤S102:当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息。
其中,上述预设API为操作系统中用于生成密钥证书的接口,且在不同操作系统中,预设API不同,比如:在Windows操作系统,预设API包括但不限于CryptExportKey。
上述提示信息可为一个弹窗,弹窗上写有“目前的xx进程(即进程名)为可疑进程,是否终止该进程”的信息,且该弹窗上设置有“同意终止”和“拒绝终止”的按钮,以供用户进行选择。
在本申请实施例中,因勒索病毒生成密钥的方式通常是通过调用操作系统提供的预设API生成密钥,故在检测到某一进程调用该预设API时,则表示可能是勒索病毒进程在调用预设API生成密钥;此时,向用户发出是否终止该进程的提示消息,使用户判断该进程是否是由用户自身操作发起的(比如:用户使用一些加密软件对文件进行加密),或该进程为勒索病毒进程,从而判断是否要终止该进程。
通过上述方式,能在勒索病毒进程调用预设API生成密钥时,就对该勒索病毒进程拦截,避免在勒索病毒已大量的删除和修改文件后,才发现该勒索病毒,从而能及时拦截勒索病毒。此外,通过向用户发出是否终止进程的提示消息,让用户判断该进程是否为勒索病毒进程,能避免将用户的某些操作确定为勒索病毒进程,从而能降低误报率。
可选的,在存在任一进程调用预设API时,上述勒索病毒拦截方法还可包括:获取预设API的参数,该参数包括指向密钥证书的指针和密钥证书的长度;根据参数,获取密钥证书;将密钥证书、密钥证书对应的终端信息和发送时间发送至安装有上述操作系统的终端所在局域网中的控制中心。
其中,上述根据参数,获取密钥证书可具体包括:根据密钥证书的指针,查找到密钥证书的位置;根据密钥证书的长度,确定通过密钥证书指针读取多少个字节;通过该位置和应读取的字节个数,获取密钥证书。
上述终端信息为各终端的IP(Internet Protocol,互联网协议)地址。
此外,上述控制中心为调用预设API的进程所在的终端所在的局域网中的控制中心,该控制中心负责控制整个局域网的网络流量以及分析每一台计算机的安全状态。并且,在终端发生勒索事件后,控制中心能根据保存的终端信息和发送时间,查找到对应的密钥证书,并利用该密钥证书对加密后的文件进行解密。
在本申请实施例中,当存在任一进程调用预设API时,则有可能是勒索病毒进程在调用预设API以生成密钥。此时,获取预设API的参数;根据该参数获取密钥证书;将密钥证书、密钥证书对应的终端信息和发送时间发送至安装有上述操作系统的终端所在局域网中的控制中心,能将该进程调用预设API时产生的密钥证书在终端外的控制中心进行保存,从而在发生勒索事件时,能根据保存至控制中心的终端信息和发送时间,查找到对应的密钥证书,以利用该密钥证书对加密后的文件进行解密。
可以理解的是,在获取到密钥证书后,还可将密钥证书、密钥证书对应的终端信息和发送时间发送至其他终端或服务器进行存储,从而在发生勒索事件时,可从该终端或服务器中查找到该勒索事件对应的密钥证书,以利用该密钥证书对加密后的文件进行解密。
此外,在向用户发出是否终止调用预设API的进程的提示消息之前,还可将该进程对应的软件在预设的白名单库进行匹配,若在白名单库中未匹配到对应的软件,则表明该进程不是由用户发起的,则向用户发出是否终止该进程的提示消息。反之,若在白名单中匹配到与该进程对应的软件,则表明该进程是由用户发起的,此时,则不对该进程进行处理,相应的,也无须向用户发出是否终止该进程的提示消息。其中,白名单库中包括用户常用的用于对文件进行加密的软件。
进一步,若用户同意终止调用预设API的进程,则关闭该进程。
反之,若用户拒绝终止调用预设API的进程,则监测该进程删除文件和修改文件的操作;若操作的个数大于预设个数,则向用户再次发出提示消息。
其中,预设个数可设置为6至15个,比如:预设个数可为8个,或10个,或13个。需要说明的是,预设个数的具体设置与操作系统上的各文件的重要性、重要的文件总数有关,即操作系统上的各文件越重要和/或操作系统上重要的文件总数越多,则将预设个数设置为较低的数值;反之,则可将预设个数设置为较高的数值。
此外,预设个数为提前设置好的默认值。但用户根据可其系统上各文件的实际情况进行相应的修改,比如:该默认值为10个,但用户认为其系统上的重要文件较多,则其可将预设个数设置为5个。
在本申请实施例中,若用户拒绝终止调用预设API的进程,则表示该进程为用户自身发起的进程,但也可能是用户选择错误。因此,此时监测该进程删除文件和修改文件的操作,在操作的总个数大于预设个数时,向用户再次发出是否终止该进程的提示消息,能提醒用户再次判断该进程是否为勒索病毒进程,从而能避免用户在第一次误判进程的情况下,勒索病毒进程对系统各文件进行加密,从而能有效阻止勒索事件的发生。
需要说明的是,在Windows系统中,可利用API HOOK机制对调用预设API的进程进行拦截和暂停,其中,API HOOK机制的原理可参考现有技术中的原理,避免赘述,此处不再说明。
进一步,向用户再次发出是否终止该进程的提示消息之后,若用户同意终止调用预设API的进程,则关闭该进程。
反之,若用户再次拒绝终止调用预设API的进程,则记录该进程删除文件和修改文件的所有信息;在该进程结束后,将所有信息发送至控制中心。
其中,上述所有信息包括调用预设API进程删除文件的文件名和删除时间点、该进程修改文件的文件名和修改时间点以及终端信息。
在本申请实施例中,若用户再次拒绝终止调用预设API的进程,则表示该进程为用户自身发起的,但也有可能是用户选择错误。因此,此时记录该进程删除和修改文件的所有信息;在该进程结束后,将信息发送至控制中心,能将该所有信息保存至控制中心,从而能在用户在第二次误判进程的情况下(即发生勒索事件的情况下),通过保存的密钥证书和勒索进程删除、修改文件的所有信息,对被勒索病毒加密后的文件进行解密。并且,相较于只通过密钥证书对被勒索病毒加密后的文件进行解密,通过密钥证书和所有信息的配合,能更快的完成对被勒索病毒加密后的文件的解密,从而能提高解密的效率。
可以理解的是,在获取到调用预设API的进程删除文件和修改文件的所有信息后,还可将该所有信息发送至其他终端或服务器进行存储,从而在发生勒索事件时,可从该终端或服务器中查找到该勒索事件对应的所有删除文件和修改文件的记录,以利用保存的密钥证书和所有信息对加密后的文件进行解密。
为便于本领域技术人员理解本方案,在此,提供一具体的实施例进行说明。
请参阅图2,在接收用户发起的用于对勒索病毒进行拦截的指令后,开启勒索病毒保护,即监测操作系统中各进程的API调用情况。
当进程1调用CryptExportKey(即预设API)时,向用户发出是否终止该进程的提示消息,并获取该CryptExportKey的参数。在获取到CryptExportKey的参数后,根据该参数获取对应的密钥证书,并将该密钥证书发送至安装有上述操作系统的终端所在局域网中的控制中心。
若用户同意终止进程1,则关闭该进程1。反之,若用户拒绝终止调用进程1,则监测该进程1删除文件和修改文件的操作;若进程1的文件操作个数(即进程1删除文件和修改文件的操作个数)大于10个,则向用户再次发出是否终止该进程1的提示消息。
若用户同意终止进程1,则关闭该进程1。反之,若用户拒绝终止调用进程1,则记录该进程1删除文件和修改文件的所有信息;在进程1结束后,将上述所有信息发送至控制中心。
请参阅图3,基于同一发明构思,本申请实施例还提供一种勒索病毒拦截装置100,该装置100包括:监测模块101和拦截模块102。
监测模块101,用于监测操作系统中各进程的API调用情况。
拦截模块102,用于当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息,其中,预设API为操作系统中用于生成密钥证书的接口。
可选的,上述装置100还包括获取模块103和发送模块104,在存在任一进程调用预设API时,获取模块102用于获取预设API的参数,参数包括指向密钥证书的指针和密钥证书的长度;根据参数,获取密钥证书;发送模块104用于将密钥证书、密钥证书对应的终端信息和发送时间发送至安装有操作系统的终端所在局域网中的控制中心。
可选的,拦截模块102还用于若用户拒绝终止调用预设API的进程,则监测该进程删除文件和修改文件的操作;若操作的个数大于预设个数,则向用户再次发出提示消息。
可选的,拦截模块102还用于若用户再次拒绝终止调用预设API的进程,则记录该进程删除文件和修改文件的所有信息;发送模块104还用于在该进程结束后,将所有信息发送至控制中心。
可选的,监测模块101还用于在监测操作系统中各进程的API调用情况之前,接收用于对勒索病毒进行拦截的指令。
请参阅图4,基于同一发明构思,本申请实施例提供的一种电子设备200的示意性结构框图,该电子设备200可用于实施上述的一种勒索病毒拦截方法。本申请实施例中,电子设备200可以是,但不限于个人计算机(Personal Computer,PC)、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)、移动上网设备(Mobile InternetDevice,MID)等。在结构上,电子设备200可以包括处理器210和存储器220。
处理器210与存储器220直接或间接地电性连接,以实现数据的传输或交互,例如,这些元件相互之间可通过一条或多条通讯总线或信号线实现电性连接。其中,处理器210可以是一种集成电路芯片,具有信号处理能力。处理器210也可以是通用处理器,例如,可以是中央处理器(Central Processing Unit,CPU)、数字信号处理器(Digital SignalProcessor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、分立门或晶体管逻辑器件、分立硬件组件,可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。此外,通用处理器可以是微处理器或者任何常规处理器等。
存储器220可以是,但不限于,随机存取存储器(Random Access Memory,RAM)、只读存储器(Read Only Memory,ROM)、可编程只读存储器(Programmable Read-OnlyMemory,PROM)、可擦可编程序只读存储器(Erasable Programmable Read-Only Memory,EPROM),以及电可擦编程只读存储器(Electric Erasable Programmable Read-OnlyMemory,EEPROM)。存储器220用于存储程序,处理器210在接收到执行指令后,执行该程序。
应当理解,图4所示的结构仅为示意,本申请实施例提供的电子设备200还可以具有比图4更少或更多的组件,或是具有与图4所示不同的配置。此外,图4所示的各组件可以通过软件、硬件或其组合实现。
需要说明的是,由于所属领域的技术人员可以清楚地了解到,为描述的方便和简洁,上述描述的系统、装置和单元的具体工作过程,可以参考前述方法实施例中的对应过程,在此不再赘述。
基于同一发明构思,本申请实施例还提供一种计算机可读存储介质,其上存储有计算机程序,计算机程序在被运行时执行上述实施例中提供的方法。
该存储介质可以是计算机能够存取的任何可用介质或者是包含一个或多个可用介质集成的服务器、数据中心等数据存储设备。所述可用介质可以是磁性介质,(例如,软盘、硬盘、磁带)、光介质(例如,DVD)、或者半导体介质(例如固态硬盘Solid State Disk(SSD))等。
在本申请所提供的实施例中,应该理解到,所揭露装置和方法,可以通过其它的方式实现。以上所描述的装置实施例仅仅是示意性的,例如,所述单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,又例如,多个单元或组件可以结合或者可以集成到另一个系统,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些通信接口,装置或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
另外,作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
再者,在本申请各个实施例中的各功能模块可以集成在一起形成一个独立的部分,也可以是各个模块单独存在,也可以两个或两个以上模块集成形成一个独立的部分。
以上所述仅为本申请的实施例而已,并不用于限制本申请的保护范围,对于本领域的技术人员来说,本申请可以有各种更改和变化。凡在本申请的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本申请的保护范围之内。

Claims (10)

1.一种勒索病毒拦截方法,其特征在于,所述方法包括:
监测操作系统中各进程的API调用情况;
当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息,其中,所述预设API为所述操作系统中用于生成密钥证书的接口。
2.根据权利要求1所述的方法,其特征在于,在所述存在任一进程调用预设API时,所述方法还包括:
获取所述预设API的参数,所述参数包括指向所述密钥证书的指针和所述密钥证书的长度;
根据所述参数,获取所述密钥证书;
将所述密钥证书、所述密钥证书对应的终端信息和发送时间发送至安装有所述操作系统的终端所在局域网中的控制中心。
3.根据权利要求2所述的方法,其特征在于,所述方法还包括:
若所述用户拒绝终止调用所述预设API的进程,则监测该进程删除文件和修改文件的操作;
若所述操作的个数大于预设个数,则向所述用户再次发出所述提示消息。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
若所述用户再次拒绝终止调用所述预设API的进程,则记录该进程删除文件和修改文件的所有信息;
在该进程结束后,将所述所有信息发送至所述控制中心。
5.根据权利要求1所述的方法,其特征在于,所述方法还包括:
若所述用户拒绝终止调用所述预设API的进程,则监测该进程删除文件和修改文件的操作;
若所述操作的个数大于预设个数,则向所述用户再次发出所述提示消息。
6.根据权利要求1-5中任一所述的方法,其特征在于,在所述监测操作系统中各进程的API调用情况之前,所述方法还包括:
接收用于对勒索病毒进行拦截的指令。
7.一种勒索病毒拦截装置,其特征在于,所述装置包括:
监测模块,用于监测操作系统中各进程的API调用情况;
拦截模块,用于当存在任一进程调用预设API时,向用户发出是否终止该进程的提示消息,其中,所述预设API为所述操作系统中用于生成密钥证书的接口。
8.根据权利要求7所述的装置,其特征在于,所述装置还包括:
获取模块,用于获取所述预设API的参数,所述参数包括指向所述密钥证书的指针和所述密钥证书的长度;根据所述参数,获取所述密钥证书;
发送模块,用于将所述密钥证书、所述密钥证书对应的终端信息和发送时间发送至安装有所述操作系统的终端所在局域网中的控制中心。
9.一种电子设备,其特征在于,包括:处理器和存储器,所述处理器和所述存储器连接;
所述存储器用于存储程序;
所述处理器用于运行存储在所述存储器中的程序,执行如权利要求1-7中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,其上存储有计算机程序,所述计算机程序在被计算机运行时执行如权利要求1-7中任一项所述的方法。
CN202210806879.3A 2022-07-08 2022-07-08 勒索病毒拦截方法、装置、电子设备及存储介质 Pending CN115189944A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210806879.3A CN115189944A (zh) 2022-07-08 2022-07-08 勒索病毒拦截方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210806879.3A CN115189944A (zh) 2022-07-08 2022-07-08 勒索病毒拦截方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN115189944A true CN115189944A (zh) 2022-10-14

Family

ID=83516661

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210806879.3A Pending CN115189944A (zh) 2022-07-08 2022-07-08 勒索病毒拦截方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN115189944A (zh)

Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814544B1 (en) * 2006-06-22 2010-10-12 Symantec Corporation API-profile guided unpacking
CN107480527A (zh) * 2017-08-03 2017-12-15 深圳市联软科技股份有限公司 勒索软件的防范方法及系统
CN107506645A (zh) * 2017-08-30 2017-12-22 北京明朝万达科技股份有限公司 一种勒索病毒的检测方法和装置
CN108932428A (zh) * 2017-05-25 2018-12-04 腾讯科技(深圳)有限公司 一种勒索软件的处理方法、装置、设备及可读存储介质
US20180357416A1 (en) * 2017-06-08 2018-12-13 Cisco Technology, Inc. File-type whitelisting
CN109388945A (zh) * 2018-08-21 2019-02-26 中国科学院信息工程研究所 一种基于固态存储设备防范勒索软件攻击的方法和系统
US20190158512A1 (en) * 2017-11-20 2019-05-23 Fortinet, Inc. Lightweight anti-ransomware system
US10447671B1 (en) * 2017-03-29 2019-10-15 Symantec Corporation Systems and methods for recovering encrypted information
US10503904B1 (en) * 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
CN110941822A (zh) * 2018-09-21 2020-03-31 武汉安天信息技术有限责任公司 勒索病毒的检测方法及装置
CN111062035A (zh) * 2019-11-18 2020-04-24 哈尔滨安天科技集团股份有限公司 一种勒索软件检测方法、装置、电子设备及存储介质

Patent Citations (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7814544B1 (en) * 2006-06-22 2010-10-12 Symantec Corporation API-profile guided unpacking
US10447671B1 (en) * 2017-03-29 2019-10-15 Symantec Corporation Systems and methods for recovering encrypted information
CN108932428A (zh) * 2017-05-25 2018-12-04 腾讯科技(深圳)有限公司 一种勒索软件的处理方法、装置、设备及可读存储介质
US20180357416A1 (en) * 2017-06-08 2018-12-13 Cisco Technology, Inc. File-type whitelisting
US10503904B1 (en) * 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
CN107480527A (zh) * 2017-08-03 2017-12-15 深圳市联软科技股份有限公司 勒索软件的防范方法及系统
CN107506645A (zh) * 2017-08-30 2017-12-22 北京明朝万达科技股份有限公司 一种勒索病毒的检测方法和装置
US20190158512A1 (en) * 2017-11-20 2019-05-23 Fortinet, Inc. Lightweight anti-ransomware system
CN109388945A (zh) * 2018-08-21 2019-02-26 中国科学院信息工程研究所 一种基于固态存储设备防范勒索软件攻击的方法和系统
CN110941822A (zh) * 2018-09-21 2020-03-31 武汉安天信息技术有限责任公司 勒索病毒的检测方法及装置
CN111062035A (zh) * 2019-11-18 2020-04-24 哈尔滨安天科技集团股份有限公司 一种勒索软件检测方法、装置、电子设备及存储介质

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
苗春雨等: "《云计算安全》", 30 April 2022, pages: 113 - 118 *
郭春生等: "基于API Hooking勒索软件WannaCry的解密方法", 网络空间安全, vol. 9, no. 1, pages 8 - 14 *

Similar Documents

Publication Publication Date Title
US20130333039A1 (en) Evaluating Whether to Block or Allow Installation of a Software Application
TW201642135A (zh) 文件檢測方法、裝置及系統
CN111897786B (zh) 日志读取方法、装置、计算机设备和存储介质
CN103514075B (zh) 在移动终端中监控api函数调用的方法和装置
CN109857479A (zh) 接口数据处理方法、装置、计算机设备和存储介质
CN109783316B (zh) 系统安全日志篡改行为的识别方法及装置、存储介质、计算机设备
US20150319147A1 (en) System and method for file encrypting and decrypting
CN112417484A (zh) 资源文件保护方法、装置、计算机设备和存储介质
TW201939337A (zh) 行為識別、數據處理方法及裝置
US20200106787A1 (en) Data management operating system (dmos) analysis server for detecting and remediating cybersecurity threats
CN111259382A (zh) 恶意行为识别方法、装置、系统和存储介质
CN114598671B (zh) 会话消息处理方法、装置、存储介质以及电子设备
CN109657490B (zh) 一种办公文件透明加解密方法及系统
WO2024125108A1 (zh) 移动端安全切面的按需开启方法及装置
CN109977692B (zh) 数据处理方法和装置、存储介质及电子设备
EP2863331A1 (en) Portable terminal, program, and control method
US10831883B1 (en) Preventing application installation using system-level messages
CN115189944A (zh) 勒索病毒拦截方法、装置、电子设备及存储介质
US10503929B2 (en) Visually configurable privacy enforcement
CN111931222B (zh) 应用数据加密方法、装置、终端及存储介质
CN111338899B (zh) 一种监控方法、终端及存储介质
CN114692145A (zh) 后门检测方法及系统
KR102497464B1 (ko) 보안 강화를 위한 클라우드 hsm 시스템
CN113590719B (zh) 数据同步方法、装置、设备及存储介质
CN103488930A (zh) 移动通讯终端上的文件/应用程序处理方法及装置

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination