CN115859289A - 一种基于可信进程树的勒索病毒隔离方法 - Google Patents

Abstract

本发明公开一种基于可信进程树的勒索病毒隔离方法，涉及计算机安全技术领域。所述方法包括：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，关联并学习到最上层的勒索病毒进程；遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离。本发明能够自动杀死勒索病毒相关进程、隔离进程文件及勒索病毒相关文件，保证系统的安全运行环境。

Description

一种基于可信进程树的勒索病毒隔离方法

技术领域

本发明涉及计算机安全技术领域，尤其涉及一种基于可信进程树的勒索病毒隔离方法。

背景技术

勒索攻击触目惊心，勒索攻击影响范围之广、勒索赎金之高、勒索组织之猖獗、勒索形势之严峻，已远超人民群众的认知，勒索病毒攻击主要攻击过程包括：①删除和停止操作系统卷影备份；②杀死主机上待加密文件的相关进程，如果数据库程序；③遍历操作系统本地、U盘和共享文件；④加密相关文件并发送勒索通知。

目前主流的勒索病毒防护通过传统杀毒引擎的特征库完成识别并隔离，但是由全球范围内勒索病毒种类繁多、变异较快，基于病毒特征库的传统杀毒软件遭遇新型勒索病毒时将无法防护快速变化的特征检测。目前流行的勒索病毒方法是通过静态诱饵、动态诱饵、勒索行为、隔离勒索病毒进程等方法来识别和防护勒索病毒。但是由于勒索病毒执行过程会通过很多进程来实现文件遍历和勒索病毒加密过程，通过单个进程隔离无法完整阻止的勒索病毒的运行。

发明内容

本发明提供了一种基于可信进程树的勒索病毒隔离方法，包括：

勒索病毒防护软启动过程：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；

勒索病毒启动攻击准备过程：勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；

勒索病毒启动攻击开始文件遍历及加密行为，勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；

勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，根据进程文件的创建时间、进程文件的来源、所在目录、进程的签名及进程执行时间等信息自动关联并学习到最上层的勒索病毒进程；

遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离，如果进程非系统进程，则杀死相关进程并隔离文件，如果进程为系统类进程，则杀死相关的进程。

如上所述的一种基于可信进程树的勒索病毒隔离方法，其中，识别可信进程树中的可信进程的方法包括：①微软默认进程安装的列表；②进程文件的签名信息；③进程的病毒检测结果；④进程文件创建和落地时间。

如上所述的一种基于可信进程树的勒索病毒隔离方法，其中，勒索病毒防护软件通过以下方法识别勒索病毒可疑进程：①杀死运行的进程；②停止系统的服务；③删除操作系统卷影；④在系统磁盘中反复写入包含了勒索软件常用描述用语的文件；⑤进程隐藏自身功能；⑥通过调用windows延迟接口，试图使程序延后执行，来达到绕过沙箱的检测。

如上所述的一种基于可信进程树的勒索病毒隔离方法，其中，勒索病毒防护软件通过以下行为准确识别勒索病毒：①静态诱饵被加密；②动态诱饵被加密；③在文件后缀之后添加已知勒索软件家族的相关后缀名称，该行为同时伴随着文件加密的操作。

本发明还提供一种计算机可读存储介质，所述计算机可读存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被处理器执行上述任一项所述的一种基于可信进程树的勒索病毒隔离方法。

本发明实现的有益效果如下：本发明能够自动杀死勒索病毒相关进程、隔离进程文件及勒索病毒相关文件，保证系统的安全运行环境。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明中记载的一些实施例，对于本领域普通技术人员来讲，还可以根据这些附图获得其他的附图。

图1是本发明实施例一提供的一种基于可信进程树的勒索病毒隔离方法流程图；

图2是建立的可信进程树示意图；

图3是勒索病毒攻击进程树示意图；

图4是Winnacry病毒攻击进程数隔离方法示意图。

具体实施方式

下面结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

实施例一

参见图1，本发明实施例一提供一种基于可信进程树的勒索病毒隔离方法，包括：

步骤110、勒索病毒防护软启动过程：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；

图2是建立的可信进程树示意图，系统进程下包含多级进程信息，进程信息还包含对应的执行文件，组成如图2所示的可信进程树。并设置通过以下但不限以下方法识别可信进程树中的可信进程：1、微软默认进程安装的列表；2、进程文件的签名信息；3、进程的病毒检测结果；4、进程文件创建和落地时间。

步骤120、勒索病毒启动攻击准备过程：勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；

其中，勒索病毒防护软件包括但不限于通过以下方法识别勒索病毒可疑进程：1、杀死运行的进程；2、停止系统的服务；3、删除操作系统卷影；4、在系统磁盘中反复写入包含了勒索软件常用描述用语的文件；5、进程隐藏自身功能；6、通过调用windows延迟接口，试图使程序延后执行，来达到绕过沙箱的检测。

图3为勒索病毒攻击进程树示意图，图中，在explorer.exe程序下，勒索控制程序杀死服务和进程程序认为是可疑勒索病毒进行标记，检测到在Cmd.exe进程下的Vasadmin.exe删除操作系统卷影程序，标记为可疑勒索病毒，然后检测到加密程序，确定为勒索病毒。

步骤130、勒索病毒启动攻击开始文件遍历及加密行为，勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；

具体地，勒索病毒防护软件包括但不限于通过以下行为可以准确识别勒索病毒：1、静态诱饵被加密；2、动态诱饵被加密；3、在文件后缀之后添加已知勒索软件家族的相关后缀名称，该行为同时伴随着文件加密的操作。

步骤140、勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，根据进程文件的创建时间、进程文件的来源、所在目录、进程的签名及进程执行时间等信息自动关联并学习到最上层的勒索病毒进程；

步骤150、遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离，如果进程非系统进程，则杀死相关进程并隔离文件，如果进程为系统类进程(如cmd.exe)，则杀死相关的进程即可。

图4为Winnacry病毒攻击进程数隔离方法示意图，图中确定WinnaCry.exe为勒索病毒，该程序为勒索病毒主程序，负责遍历读取文件并加密，该勒索病毒主程序的相关进程包括有Attrib.exe、Icacls.exe、taskdl.exe、cmd.exe、@WanaDecryptor@程序。其中，Attrib.exe程序为系统文件，这个程序作用是更改文件属性，作为系统程序则直接杀死；Icacls.exe程序为系统文件，这个程序作用是创建一个Everyone账户并获取所有权限，作为系统程序直接杀死；taskdl.exe这个程序的主要作用是文件遍历，调用DeleteFileW删除D:\$RECYCLE中的.WNCRY后缀的文件；cmd.exe为系统类进程，直接杀死相关进程；@WanaDecryptor@程序主要作用是推送通知文件，非系统类进程，杀死相关进程并隔离文件。

与上述实施例对应的，本发明实施例提供一种基于可信进程树的勒索病毒隔离系统，该系统包括：至少一个存储器和至少一个处理器；

存储器用于存储一个或多个程序指令；

处理器，用于运行一个或多个程序指令，用以执行一种基于可信进程树的勒索病毒隔离方法。

与上述实施例对应的，本发明实施例提供一种计算机可读存储介质，计算机存储介质中包含一个或多个程序指令，一个或多个程序指令用于被处理器执行一种基于可信进程树的勒索病毒隔离方法。

本发明所公开的实施例提供一种计算机可读存储介质，所述计算机可读存储介质中存储有计算机程序指令，当所述计算机程序指令在计算机上运行时，使得计算机执行上述的一种基于可信进程树的勒索病毒隔离方法。

在本发明实施例中，处理器可以是一种集成电路芯片，具有信号的处理能力。处理器可以是通用处理器、数字信号处理器(Digital Signal Processor，简称DSP)、专用集成电路(Application Specific Integrated Circuit，简称ASIC)、现场可编程门阵列(FieldProgrammable Gate Array，简称FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。

可以实现或者执行本发明实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成，或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器，闪存、只读存储器，可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。处理器读取存储介质中的信息，结合其硬件完成上述方法的步骤。

存储介质可以是存储器，例如可以是易失性存储器或非易失性存储器，或可包括易失性和非易失性存储器两者。

其中，非易失性存储器可以是只读存储器(Read-Only Memory，简称ROM)、可编程只读存储器(Programmable ROM，简称PROM)、可擦除可编程只读存储器(Erasable PROM，简称EPROM)、电可擦除可编程只读存储器(Electrically EPROM，简称EEPROM)或闪存。

易失性存储器可以是随机存取存储器(Random Access Memory，简称RAM)，其用作外部高速缓存。通过示例性但不是限制性说明，许多形式的RAM可用，例如静态随机存取存储器(Static RAM，简称SRAM)、动态随机存取存储器(Dynamic RAM，简称DRAM)、同步动态随机存取存储器(Synchronous DRAM，简称SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data RateSDRAM，简称DDRSDRAM)、增强型同步动态随机存取存储器(EnhancedSDRAM，简称ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，简称SLDRAM)和直接内存总线随机存取存储器(DirectRambus RAM，简称DRRAM)。

本发明实施例描述的存储介质旨在包括但不限于这些和任意其它适合类型的存储器。

本领域技术人员应该可以意识到，在上述一个或多个示例中，本发明所描述的功能可以用硬件与软件组合来实现。当应用软件时，可以将相应功能存储在计算机可读介质中或者作为计算机可读介质上的一个或多个指令或代码进行传输。计算机可读介质包括计算机存储介质和通信介质，其中通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。存储介质可以是通用或专用计算机能够存取的任何可用介质。

以上所述的具体实施方式，对本发明的目的、技术方案和有益效果进行了进一步详细说明，所应理解的是，以上所述仅为本发明的具体实施方式而已，并不用于限定本发明的保护范围，凡在本发明的技术方案的基础之上，所做的任何修改、等同替换、改进等，均应包括在本发明的保护范围之内。

Claims (5)

1.一种基于可信进程树的勒索病毒隔离方法，其特征在于，包括：

勒索病毒防护软启动过程：基于进程信息及进程的执行文件信息建立可信进程树，并设置识别可信进程树中可信进程的方法；

勒索病毒启动攻击准备过程：勒索病毒防护软件检测到勒索病毒不同攻击阶段的不同进程的攻击行为，并标记可疑的进程链；

勒索病毒启动攻击开始文件遍历及加密行为，勒索病毒防护软件检测到勒索病毒的加密行为并标记为勒索病毒攻击；

勒索病毒防护软件根据识别的勒索病毒进程向进程树的父进程向上遍历所有可疑的父进程，根据进程文件的创建时间、进程文件的来源、所在目录、进程的签名及进程执行时间信息自动关联并学习到最上层的勒索病毒进程；

遍历该勒索病毒的进程及所有子进程，对所有遍历的进程进行隔离，如果进程非系统进程，则杀死相关进程并隔离文件，如果进程为系统类进程，则杀死相关的进程。

2.如权利要求1所述的一种基于可信进程树的勒索病毒隔离方法，其特征在于，识别可信进程树中的可信进程的方法包括：①微软默认进程安装的列表；②进程文件的签名信息；③进程的病毒检测结果；④进程文件创建和落地时间。

3.如权利要求1所述的一种基于可信进程树的勒索病毒隔离方法，其特征在于，勒索病毒防护软件通过以下方法识别勒索病毒可疑进程：①杀死运行的进程；②停止系统的服务；③删除操作系统卷影；④在系统磁盘中反复写入包含了勒索软件常用描述用语的文件；⑤进程隐藏自身功能；⑥通过调用windows延迟接口，试图使程序延后执行，来达到绕过沙箱的检测。

4.如权利要求1所述的一种基于可信进程树的勒索病毒隔离方法，其特征在于，勒索病毒防护软件通过以下行为准确识别勒索病毒：①静态诱饵被加密；②动态诱饵被加密；③在文件后缀之后添加已知勒索软件家族的相关后缀名称，该行为同时伴随着文件加密的操作。

5.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质中包含一个或多个程序指令，所述一个或多个程序指令用于被处理器执行如权利要求1-4任一项所述的一种基于可信进程树的勒索病毒隔离方法。

Images