CN116611066B - 勒索病毒识别方法、装置、设备及存储介质 - Google Patents
勒索病毒识别方法、装置、设备及存储介质 Download PDFInfo
- Publication number
- CN116611066B CN116611066B CN202310884960.8A CN202310884960A CN116611066B CN 116611066 B CN116611066 B CN 116611066B CN 202310884960 A CN202310884960 A CN 202310884960A CN 116611066 B CN116611066 B CN 116611066B
- Authority
- CN
- China
- Prior art keywords
- file
- identification
- virus
- abnormal
- target executable
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 241000700605 Viruses Species 0.000 claims abstract description 114
- 230000002159 abnormal effect Effects 0.000 claims abstract description 108
- 230000006399 behavior Effects 0.000 claims description 65
- 230000005856 abnormality Effects 0.000 claims description 14
- 230000004048 modification Effects 0.000 claims description 10
- 238000012986 modification Methods 0.000 claims description 10
- 238000010586 diagram Methods 0.000 description 7
- 238000004891 communication Methods 0.000 description 6
- 230000008569 process Effects 0.000 description 6
- 230000003542 behavioural effect Effects 0.000 description 4
- 238000005516 engineering process Methods 0.000 description 4
- 238000010276 construction Methods 0.000 description 3
- 238000012217 deletion Methods 0.000 description 3
- 230000037430 deletion Effects 0.000 description 3
- 238000012545 processing Methods 0.000 description 3
- 206010000117 Abnormal behaviour Diseases 0.000 description 2
- 230000010485 coping Effects 0.000 description 2
- 238000001514 detection method Methods 0.000 description 2
- 230000006870 function Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000522169 Lespedeza Species 0.000 description 1
- 230000009471 action Effects 0.000 description 1
- 238000001914 filtration Methods 0.000 description 1
- 238000009434 installation Methods 0.000 description 1
- 230000003993 interaction Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000003612 virological effect Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/566—Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/552—Detecting local intrusion or implementing counter-measures involving long-term monitoring or reporting
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/03—Indexing scheme relating to G06F21/50, monitoring users, programs or devices to maintain the integrity of platforms
- G06F2221/033—Test or assess software
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- Virology (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及数据安全技术领域,公开一种勒索病毒识别方法、装置、设备及存储介质,该方法包括:获取目标可执行文件的属性信息以及行为特征;通过第一预设识别策略对属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对行为特征进行异常识别,获得第二异常识别结果;基于第一异常识别结果和第二异常识别结果判断目标可执行文件是否属于勒索病毒。由于本发明通过基于识别策略对目标可执行文件的属性信息以及行为特征进行异常识别,获得识别结果,再根据识别结果判断是否属于勒索病毒,从而能够精确的识别出疑似勒索病毒的可执行文件,提高勒索病毒识别的通用性和有效性。
Description
技术领域
本发明涉及数据安全技术领域,尤其涉及一种勒索病毒识别方法、装置、设备及存储介质。
背景技术
自从勒索病毒出现之后,用户系统的文件中的业务数据被破环的情况层出不穷,导致业务中断,给用户和企业造成了惨重的损失。由于勒索病毒的文件读写行为和业务系统的行为很接近,目前很难找到应对勒索病毒加密的通用、有效方法。
上述内容仅用于辅助理解本发明的技术方案,并不代表承认上述内容是现有技术。
发明内容
本发明的主要目的在于提供一种勒索病毒识别方法、装置、设备及存储介质,旨在解决现有的识别勒索病毒的方法通用性低、有效性低的技术问题。
为实现上述目的,本发明提供了一种勒索病毒识别方法,所述方法包括以下步骤:
获取目标可执行文件的属性信息以及行为特征;
通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果;
基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒。
可选地,所述属性信息包括:修改时刻;
所述通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,包括:
判断所述目标可执行文件的修改时刻与当前时刻之间的时间差是否小于预设时长;
若是,则将第一异常识别结果设置为异常状态。
可选地,所述属性信息包括:文件所在路径、签名信息或创建时刻;
所述通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,包括:
将所述目标可执行文件的签名信息与所述文件所在路径中的其他可执行文件的签名信息进行比较,在签名信息存在区别时,将第一异常识别结果设置为异常状态;
和/或,
将所述目标可执行文件的创建时刻与所述文件所在路径中的其他可执行文件的创建时刻进行比较,在创建时刻存在区别时,将第一异常识别结果设置为异常状态。
可选地,所述通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果,包括:
在所述行为特征为针对不同文件路径进行枚举目录操作时,将第二异常识别结果设置为异常状态;
和/或,
在所述行为特征为针对不同文件类型的文件进行访问时,将第二异常识别结果设置为异常状态。
可选地,所述通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果,包括:
在所述行为特征为根据对源文件中的数据进行加密后的数据生成目标文件,并删除所述源文件时,将第二异常识别结果设置为异常状态;
和/或,
在所述行为特征为对源文件的数据进行加密操作,并修改所述源文件的内存地址的操作时,将第二异常识别结果设置为异常状态。
可选地,所述基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒,包括:
基于所述第一异常识别结果、所述第二异常识别结果以及各异常识别结果对应的权重进行风险评分,获得风险分值;
根据所述风险分值判断所述目标可执行文件是否属于勒索病毒。
可选地,所述根据所述风险分值判断所述目标可执行文件是否属于勒索病毒之后,还包括:
在目标可执行文件属于勒索病毒时,检测所述目标可执行文件的操作;
在检测到所述目标可执行文件的文件写操作时,复制文件写操作对应的文件,将获得的文件副本保存至预设文件缓存区域,并且控制所述目标可执行文件对所述文件副本进行所述文件写操作;
在检测到所述目标可执行文件的文件删除操作时,将所述文件删除操作对应的文件数据保存至预设文件缓存区域和添加至已删除文件列表中,并设置所述文件对所述文件以外的其他可执行文件不可见。
此外,为实现上述目的,本发明还提出一种勒索病毒识别装置,所述勒索病毒识别装置包括:
信息获取模块,用于获取目标可执行文件的属性信息以及行为特征;
异常识别模块,用于通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果;
结果判断模块,用于基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒。
此外,为实现上述目的,本发明还提出一种勒索病毒识别设备,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的勒索病毒识别程序,所述勒索病毒识别程序配置为实现如上文所述的勒索病毒识别方法的步骤。
此外,为实现上述目的,本发明还提出一种存储介质,所述存储介质上存储有勒索病毒识别程序,所述勒索病毒识别程序被处理器执行时实现如上文所述的勒索病毒识别方法的步骤。
在本发明中,公开了一种勒索病毒识别方法、装置、设备及存储介质,该方法包括:获取目标可执行文件的属性信息以及行为特征;通过第一预设识别策略对属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对行为特征进行异常识别,获得第二异常识别结果;基于第一异常识别结果和第二异常识别结果判断目标可执行文件是否属于勒索病毒。由于本发明通过基于识别策略对目标可执行文件的属性信息以及行为特征进行异常识别,获得识别结果,再根据识别结果判断是否属于勒索病毒,从而能够精确的识别出疑似勒索病毒的可执行文件,提高勒索病毒识别的通用性和有效性。
附图说明
图1是本发明实施例方案涉及的硬件运行环境的勒索病毒识别设备的结构示意图;
图2为本发明勒索病毒识别方法第一实施例的流程示意图;
图3为本发明勒索病毒识别方法第二实施例的流程示意图;
图4为本发明勒索病毒识别方法中的系统文件的属性参考示意图;
图5为本发明勒索病毒识别方法第三实施例的流程示意图;
图6为本发明勒索病毒识别装置第一实施例的结构框图。
本发明目的的实现、功能特点及优点将结合实施例,参照附图做进一步说明。
具体实施方式
应当理解,此处所描述的具体实施例仅用以解释本发明,并不用于限定本发明。
参照图1,图1为本发明实施例方案涉及的硬件运行环境的勒索病毒识别设备结构示意图。
如图1所示,该勒索病毒识别设备可以包括:处理器1001,例如中央处理器(Central Processing Unit,CPU),通信总线1002、用户接口1003,网络接口1004,存储器1005。其中,通信总线1002用于实现这些组件之间的连接通信。用户接口1003可以包括显示屏(Display)、输入单元比如键盘(Keyboard),可选用户接口1003还可以包括标准的有线接口、无线接口。网络接口1004可选的可以包括标准的有线接口、无线接口(如无线保真(Wireless-Fidelity,WI-FI)接口)。存储器1005可以是高速的随机存取存储器(RandomAccess Memory,RAM)存储器,也可以是稳定的非易失性存储器(Non-Volatile Memory,NVM),例如磁盘存储器。存储器1005可选的还可以是独立于前述处理器1001的存储装置。
本领域技术人员可以理解,图1中示出的结构并不构成对勒索病毒识别设备的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件布置。
如图1所示,作为一种存储介质的存储器1005中可以包括操作系统、网络通信模块、用户接口模块以及勒索病毒识别程序。
在图1所示的勒索病毒识别设备中,网络接口1004主要用于与网络服务器进行数据通信;用户接口1003主要用于与用户进行数据交互;本发明勒索病毒识别设备中的处理器1001、存储器1005可以设置在勒索病毒识别设备中,所述勒索病毒识别设备通过处理器1001调用存储器1005中存储的勒索病毒识别程序,并执行本发明实施例提供的勒索病毒识别方法。
本发明实施例提供了一种勒索病毒识别方法,参照图2,图2为本发明勒索病毒识别方法第一实施例的流程示意图。
本实施例中,所述勒索病毒识别方法包括以下步骤:
步骤S10:获取目标可执行文件的属性信息以及行为特征。
需要说明的是,本实施例方法的执行主体可以是具有数据处理、网络通信以及程序运行功能的计算服务设备,例如手机、平板电脑、个人电脑等;也可以是具有相同或相似功能的上述勒索病毒识别设备。本实施例及下述各实施例将以勒索病毒识别设备为例进行说明。
可以理解的是,业务系统或者勒索病毒,在访问或者修改业务数据时,都可以通过操作系统的系统调用来实现。当应用程序调用系统调用时,操作系统可以将上述系统调用转换为文件系统的IO请求,从而实现对数据的访问,而Hook技术可以通过一定手段在程序执行过程中进行干预。因此,可以通过Hook操作系统的系统调用,或者通过文件系统的过滤驱动,来获取业务系统中对业务数据的写操作的请求。因此,本发明可以基于文件系统过滤驱动的方式对目标可执行文件进行勒索病毒识别。
考虑到实际情况中,勒索病毒对系统和文件的攻击模式可以概括为修改自身属性信息,或者对目标文件进行一系列有共性的攻击行为,因为,在识别目标可执行文件是否是勒索病毒之前,可以先获取目标可执行文件的属性信息以及行为特征,再根据获取到的属性信息以及行为特征对该可执行文件进行分析。
步骤S20:通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果。
可以理解的是,可以根据勒索病毒的攻击模式制定用于对目标可执行文件的属性信息和行为特征进行异常识别的识别策略,例如,识别策略为判断目标可执行文件是否修改了某些属性的属性值,是否对系统某个文件目录下的指定类型的文件进行读写操作等。再基于识别策略对属性信息和行为特征进行异常识别后,获得对应的识别结果,识别结果可以是可信行为/程序、疑似勒索病毒行为、确定勒索病毒行为等。
步骤S30:基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒。
应当理解的是,在基于识别策略获得异常识别结果后,可以通过异常属性的具体内容、异常属性数量、异常行为的数量和/或异常行为的重要程度等识别结果,对目标可执行文件的可信度进行综合评估,从而判断目标可执行文件是否属于勒索病毒。
在本实施例中,通过获取目标可执行文件的属性信息以及行为特征;通过第一预设识别策略对属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对行为特征进行异常识别,获得第二异常识别结果;基于第一异常识别结果和第二异常识别结果判断目标可执行文件是否属于勒索病毒。由于本实施例通过基于识别策略对目标可执行文件的属性信息以及行为特征进行异常识别,获得识别结果,再根据识别结果判断是否属于勒索病毒,从而能够精确的识别出疑似勒索病毒的可执行文件,提高勒索病毒识别的通用性和有效性。
参考图3,图3本发明勒索病毒识别方法第二实施例的流程示意图。
进一步地,为了更加精确的识别勒索病毒,可以检测目标可执行文件是否修改了修改时刻的内容。故基于上述第一实施例,在本实施例中,所述属性信息包括:修改时刻;所述步骤S20包括:
步骤S201:判断所述目标可执行文件的修改时刻与当前时刻之间的时间差是否小于预设时长。
步骤S202:若是,则将第一异常识别结果设置为异常状态,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果。
值得说明的是,由于操作系统中的文件的创建时间是可以通过调用操作系统的API进行修改,例如,Windows操作系统中的SetFileAttributes接口。而文件系统内部的其他时间属性是无法修改的,即目标可执行文件的修改时刻,例如,新技术文件系统(NewTechnology File System,NTFS)中的主文件表(Master File Table,MFT)中的可以保存文件创建时间的落款时间,还有Linux操作系统的文件系统中的inode属性,可以用于记录文件最后一次被修改的时间。
因此,若目标可执行文件将创建时间修改到当前时刻之前的时间以此伪装成非病毒程序时,修改时刻可以记录下此次修改动作的时间,可以通过判断目标可执行文件的修改时刻与当前时刻之间的时间差是否小于预设时长,例如,5分钟,若时间差小于5分钟,则可以将第一异常识别结果设置为异常状态。
进一步地,为了更加精确的识别勒索病毒,可以检测目标可执行文件是否对各个文件所在路径下文件的签名信息或创建时刻进行操作。因此,上述步骤S20还包括:所述属性信息包括:文件所在路径、签名信息或创建时刻;将所述目标可执行文件的签名信息与所述文件所在路径中的其他可执行文件的签名信息进行比较,在签名信息存在区别时,将第一异常识别结果设置为异常状态;和/或,将所述目标可执行文件的创建时刻与所述文件所在路径中的其他可执行文件的创建时刻进行比较,在创建时刻存在区别时,将第一异常识别结果设置为异常状态。
应当理解的是,由于非病毒的正常可执行文件通常是安装在一些特定的路径,例如,C:\Program Files或者C:\Users\<用户名>\AppData\Local等路径;而不是安装在非程序安装路径下,例如,C:\windows目录及其子目录。同时,在系统目录下的正常可执行文件的特征包括签名信息和/或创建时刻,并且正常可执行文件的创建时刻是一致的,参考图4,图4为系统文件的属性参考示意图,例如图中的wps.exe、wpscenter.exe等可执行文件的创建时间均为“11/24/2022 10:09”,签名信息均包括“.exe”的标识等。
可以理解的是,可以通过调用系统接口判断目标可执行文件是否安装在正常程序的路径下。例如,在Windows系统中可以通过枚举系统注册表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall,再结合HKEY_CURRENT_USER\SOFTWARE和HKEY_LOCAL_MACHINE\SOFTWARE对安装路径是否正常进行判断。
易于理解的是,若目标可执行文件伪装成正常程序,在安装到正常程序的路径下时,目标可执行文件可能将签名信息和/或创建时刻修改为和同路径下的正常程序的信息一致。因此,可以将所述目标可执行文件的签名信息与所述文件所在路径中的其他可执行文件的签名信息进行比较,或者将所述目标可执行文件的创建时刻与所述文件所在路径中的其他可执行文件的创建时刻进行比较,在存在区别时,表示可执行文件疑似病毒,则可以将第一异常识别结果设置为异常状态。
进一步地,为了更加精确的识别勒索病毒,可以检测目标可执行文件是否对各个文件路径下的各种类型的文件进行访问。因此,上述步骤S20还包括:在所述行为特征为针对不同文件路径进行枚举目录操作时,将第二异常识别结果设置为异常状态;和/或,在所述行为特征为针对不同文件类型的文件进行访问时,将第二异常识别结果设置为异常状态。
可以理解的是,可以检测目标可执行文件的行为特征中是否存在预设数量(例如100次)以上的针对不同文件路径进行枚举目录的操作,比如,Windows下的C:\users\目录、各个磁盘的根目录以及Linux系统中的/home、/root等目录,同时可以检测在枚举目录后,是否存在将目录下的文件设置为读写模式,读取文件并将读取的文件进行删除。
同样的,由于正常程序对读写操作的目标文件类型是固定的,例如,WPS程序的读写操作的目标文件类型是文档、表格类以及相关的文件类型,并且不是数据库文件、压缩文件、音频文件等其他文件类型。因此,可以预先设置包含各类文件的测试文件目录,再检测目标可执行文件是否存在枚举并打开该测试文件目录下的全部文件,若存在,则将第二异常识别结果设置为异常状态。
进一步地,为了更加精确的识别勒索病毒,可以检测目标可执行文件是否读取文件并进行加密操作,或者涉及删除文件和修改内存地址的操作。因此,上述步骤S20还包括:在所述行为特征为根据对源文件中的数据进行加密后的数据生成目标文件,并删除所述源文件时,将第二异常识别结果设置为异常状态;和/或,在所述行为特征为对源文件的数据进行加密操作,并修改所述源文件的内存地址的操作时,将第二异常识别结果设置为异常状态。
可以理解的是,可以检测目标可执行文件是否存在下述的第一行为特征。目标可执行文件以只读模式打开源文件,读取源文件的原始文件数据,并在内存中加密后,创建目标文件,再将加密数据依次写入目标文件中,最后删除源文件。还可以检测每次写入目标文件的数据长度是否等于每次从源文件中读取的数据长度,以及源文件和目标文件的文件偏移指针的移动方式是否是对应的。由于上述特征与复制文件的特征相似,因此还可以检测源文件和目标文件的内容是否存在区别,存在区别时可以认为是疑似病毒操作。
可以理解的是,可以检测目标可执行文件是否存在下述的第二行为特征。目标可执行文件以读写模式打开源文件,并且读取源文件的原始文件数据,将原始文件数据在内存中加密后写回源文件中,并且文件偏移指针是否来回切换。还可以检测上述流程之后的源文件的文件大小是否改变,若文件大小未改变时也可以认为是疑似病毒操作。
当然,在检测到存在上述第一行为特征和/或第二行为特征时,可以将第二异常识别结果设置为异常状态。
本实施例中属性信息包括:修改时刻,并通过判断目标可执行文件的修改时刻与当前时刻之间的时间差是否小于预设时长,若是,则将第一异常识别结果设置为异常状态,并通过第二预设识别策略对行为特征进行异常识别,获得第二异常识别结果,从而能够更加精确的识别勒索病毒。
参考图5,图5本发明勒索病毒识别方法第三实施例的流程示意图。
进一步地,由于疑似病毒的行为中,不同的行为对应的病毒可能性和重要程度不同,因此,可以为各个预设行为设置权重值,根据权重和匹配到的行为进行权重计算,按照权重值的大小确定风险等级,再根据风险等级进行后续的策略确定,可以提高病毒检测的有效性。故基于上述第一实施例,在本实施例中,所述步骤S30包括:
步骤S301:基于所述第一异常识别结果、所述第二异常识别结果以及各异常识别结果对应的权重进行风险评分,获得风险分值。
步骤S302:根据所述风险分值判断所述目标可执行文件是否属于勒索病毒。
值得说明的是,由于目标可执行文件的属性信息和行为特征在判定是否是病毒特征时,部分特征的疑似病毒性高,一部分疑似病毒性低,因此,可以预先为每个病毒识别方式设定权重,再根据识别到的属性信息和行为特征结合权重值进行风险分值打分,最后根据所述风险分值判断所述目标可执行文件是否属于勒索病毒。例如,可以设定3个等级的风险分值:1表示确定为勒索病毒,2表示疑似勒索病毒,3表示为可信程序。
进一步地,在检测到疑似勒索病毒的情况下,将操作的文件进行缓存可以避免错误识别病毒带来的文件丢失的问题,可以更好的保护文件,使得勒索病毒识别方法更加的有效和智能。因此,所述步骤S302之后,还包括:在目标可执行文件属于勒索病毒时,检测所述目标可执行文件的操作;在检测到所述目标可执行文件的文件写操作时,复制文件写操作对应的文件,将获得的文件副本保存至预设文件缓存区域,并且控制所述目标可执行文件对所述文件副本进行所述文件写操作;在检测到所述目标可执行文件的文件删除操作时,将所述文件删除操作对应的文件数据保存至预设文件缓存区域和添加至已删除文件列表中,并设置所述文件对所述文件以外的其他可执行文件不可见。
可以理解的是,同时,还可以设置系统安全等级,例如,预设3档等级:自动等级、中等等级和严格等级。在再结合目标可执行文件对应的风险分值和系统安全等级综合判断目标可执行文件是否属于勒索病毒。
在此基础上,可以根据病毒识别结果采取相应的系统应对策略。
在判定目标可执行文件为可信程序时,则允许目标可执行文件对所有文件的读写、删除操作,并且,在系统安全等级为严格等级时,可以记录目标可执行文件的操作信息。
在判定目标可执行文件为勒索病毒时,则拒绝目标可执行文件的文件读写、删除操作,并且结束进程,后续也不再允许运行,并且记录目标可执行文件的行为日志。
在判定目标可执行文件为疑似勒索病毒时,再结合系统安全等级进行策略的确定。在系统安全等级为严格时,可以拒绝目标可执行文件的读写和删除操作,同时提示用户,并记录目标可执行文件的操作日志信息;在系统安全等级为中等时,可以暂停目标可执行文件的读写和删除操作,并且提示用户,在接收到用户的允许此操作指令时,再允许读写和删除操作,并且可以记录目标可执行文件的操作日志信息。
同样的,在系统安全等级为自动等级时,在检测到所述目标可执行文件的文件写操作时,复制文件写操作对应的文件,将获得的文件副本保存至预设文件缓存区域,并且控制所述目标可执行文件对所述文件副本进行所述文件写操作。可理解,可以通过文件缓存区域保证源文件的安全,当经过设定时间(具体时间可设定,比如默认值1天)之后,没有出现用户被勒索的情况,可以将缓存的文件副本替换源文件并清除文件副本。如果在设定时间内,用户发现被勒索了,可以从文件缓存中找到被加密的文件,并把操作此文件的程序设定为勒索病毒,然后从文件缓存中恢复被加密的文件。
同样的,在系统安全等级为自动等级时,在检测到所述目标可执行文件的文件删除操作时,将所述文件删除操作对应的文件数据保存至预设文件缓存区域和添加至已删除文件列表中,并设置所述文件对所述文件以外的其他可执行文件不可见,以使病毒程序误以为所述文件删除成功了,以诱导病毒程序继续暴露后续潜在的危险行为。可理解的是,还可以通过已删除文件列表恢复被删除的文件,在已删除文件列表中列出的文件不在原本所在文件目录中显示,但实际上文件还是存放在原来的文件目录中,但不可见也不可访问,当经过设定时间(具体时间可设定,比如默认值1天)之后,没有出现用户被勒索的情况,可以将真正的将原文件删除,并将其从列表中移除。如果在设定时间内,用户发现被勒索了,可以从文件缓存中找到被加密的文件,并把操作此文件的程序设定为勒索病毒,然后从文件缓存中恢复被加密的文件。
在本实施例中,通过基于所述第一异常识别结果、所述第二异常识别结果以及各异常识别结果对应的权重进行风险评分,获得风险分值;根据所述风险分值判断所述目标可执行文件是否属于勒索病毒。由于本实施例是通过为识别结果设置权重值,再根据各异常识别结果和对应的权重进行风险评分,确定风险分值,再根据风险分值判断所述目标可执行文件是否属于勒索病毒,从而能够进一步的提高病毒检测的有效性。
此外,本发明实施例还提出一种存储介质,所述存储介质上存储有勒索病毒识别程序,所述勒索病毒识别程序被处理器执行时实现如上文所述的勒索病毒识别方法的步骤。
参照图6,图6为本发明勒索病毒识别装置第一实施例的结构框图。
如图6所示,本发明实施例提出的勒索病毒识别装置包括:
信息获取模块601,用于获取目标可执行文件的属性信息以及行为特征;
异常识别模块602,用于通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果;
结果判断模块603,用于基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒。
本实施例通过获取目标可执行文件的属性信息以及行为特征;通过第一预设识别策略对属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对行为特征进行异常识别,获得第二异常识别结果;基于第一异常识别结果和第二异常识别结果判断目标可执行文件是否属于勒索病毒。由于本实施例通过基于识别策略对目标可执行文件的属性信息以及行为特征进行异常识别,获得识别结果,再根据识别结果判断是否属于勒索病毒,从而能够精确的识别出疑似勒索病毒的可执行文件,提高勒索病毒识别的通用性和有效性。
基于本发明上述勒索病毒识别装置第一实施例,提出本发明勒索病毒识别装置的第二实施例。
在本实施例中,所述异常识别模块602,还用于所述属性信息包括:修改时刻;判断所述目标可执行文件的修改时刻与当前时刻之间的时间差是否小于预设时长;若是,则将第一异常识别结果设置为异常状态。
作为一种实施方式,所述异常识别模块602,还用于所述属性信息包括:文件所在路径、签名信息或创建时刻;将所述目标可执行文件的签名信息与所述文件所在路径中的其他可执行文件的签名信息进行比较,在签名信息存在区别时,将第一异常识别结果设置为异常状态;和/或,将所述目标可执行文件的创建时刻与所述文件所在路径中的其他可执行文件的创建时刻进行比较,在创建时刻存在区别时,将第一异常识别结果设置为异常状态。
作为一种实施方式,所述异常识别模块602,还用于在所述行为特征为针对不同文件路径进行枚举目录操作时,将第二异常识别结果设置为异常状态;和/或,在所述行为特征为针对不同文件类型的文件进行访问时,将第二异常识别结果设置为异常状态。
作为一种实施方式,所述异常识别模块602,还用于在所述行为特征为根据对源文件中的数据进行加密后的数据生成目标文件,并删除所述源文件时,将第二异常识别结果设置为异常状态;和/或,在所述行为特征为对源文件的数据进行加密操作,并修改所述源文件的内存地址的操作时,将第二异常识别结果设置为异常状态。
作为一种实施方式,所述异常识别模块602,还用于基于所述第一异常识别结果、所述第二异常识别结果以及各异常识别结果对应的权重进行风险评分,获得风险分值;根据所述风险分值判断所述目标可执行文件是否属于勒索病毒。
作为一种实施方式,所述结果判断模块603,还用于在目标可执行文件属于勒索病毒时,检测所述目标可执行文件的操作;在检测到所述目标可执行文件的文件写操作时,复制文件写操作对应的文件,将获得的文件副本保存至预设文件缓存区域,并且控制所述目标可执行文件对所述文件副本进行所述文件写操作;在检测到所述目标可执行文件的文件删除操作时,将所述文件删除操作对应的文件数据保存至预设文件缓存区域和添加至已删除文件列表中,并设置所述文件对所述文件以外的其他可执行文件不可见。
本发明勒索病毒识别装置的其他实施例或具体实现方式可参照上述各方法实施例,此处不再赘述。
需要说明的是,在本文中,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者系统不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者系统所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括该要素的过程、方法、物品或者系统中还存在另外的相同要素。
上述本发明实施例序号仅仅为了描述,不代表实施例的优劣。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现,当然也可以通过硬件,但很多情况下前者是更佳的实施方式。基于这样的理解,本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在如上所述的一个存储介质(如ROM/RAM、磁碟、光盘)中,包括若干指令用以使得一台终端设备(可以是手机,计算机,服务器,空调器,或者网络设备等)执行本发明各个实施例所述的方法。
以上仅为本发明的优选实施例,并非因此限制本发明的专利范围,凡是利用本发明说明书及附图内容所作的等效结构或等效流程变换,或直接或间接运用在其他相关的技术领域,均同理包括在本发明的专利保护范围内。
Claims (7)
1.一种勒索病毒识别方法,其特征在于,所述方法包括:
获取目标可执行文件的属性信息以及行为特征;
通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果;
基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒;
所述属性信息包括:文件所在路径、签名信息和创建时刻;
所述通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,包括:
将所述目标可执行文件的签名信息与所述文件所在路径中的其他可执行文件的签名信息进行比较,在签名信息存在区别时,将第一异常识别结果设置为异常状态;
将所述目标可执行文件的创建时刻与所述文件所在路径中的其他可执行文件的创建时刻进行比较,在创建时刻存在区别时,将第一异常识别结果设置为异常状态;
所述通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果,包括:
在所述行为特征为针对不同文件路径进行枚举目录操作时,将第二异常识别结果设置为异常状态;
在所述行为特征为针对不同文件类型的文件进行访问时,将第二异常识别结果设置为异常状态;
在所述行为特征为根据对源文件中的数据进行加密后的数据生成目标文件,并删除所述源文件时,将第二异常识别结果设置为异常状态;
在所述行为特征为对源文件的数据进行加密操作,并修改所述源文件的内存地址的操作时,将第二异常识别结果设置为异常状态。
2.如权利要求1所述的勒索病毒识别方法,其特征在于,所述属性信息包括:修改时刻;
所述通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,包括:
判断所述目标可执行文件的修改时刻与当前时刻之间的时间差是否小于预设时长;
若是,则将第一异常识别结果设置为异常状态。
3.如权利要求1至2中的任一项所述的勒索病毒识别方法,其特征在于,所述基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒,包括:
基于所述第一异常识别结果、所述第二异常识别结果以及各异常识别结果对应的权重进行风险评分,获得风险分值;
根据所述风险分值判断所述目标可执行文件是否属于勒索病毒。
4.如权利要求3所述的勒索病毒识别方法,其特征在于,所述根据所述风险分值判断所述目标可执行文件是否属于勒索病毒之后,还包括:
在目标可执行文件属于勒索病毒时,检测所述目标可执行文件的操作;
在检测到所述目标可执行文件的文件写操作时,复制文件写操作对应的文件,将获得的文件副本保存至预设文件缓存区域,并且控制所述目标可执行文件对所述文件副本进行所述文件写操作;
在检测到所述目标可执行文件的文件删除操作时,将所述文件删除操作对应的文件数据保存至预设文件缓存区域和添加至已删除文件列表中,并设置所述文件对所述文件以外的其他可执行文件不可见。
5.一种勒索病毒识别装置,其特征在于,所述勒索病毒识别装置包括:
信息获取模块,用于获取目标可执行文件的属性信息以及行为特征,所述属性信息包括:文件所在路径、签名信息和创建时刻;
异常识别模块,用于通过第一预设识别策略对所述属性信息进行异常识别,获得第一异常识别结果,并通过第二预设识别策略对所述行为特征进行异常识别,获得第二异常识别结果;
结果判断模块,用于基于所述第一异常识别结果和所述第二异常识别结果判断所述目标可执行文件是否属于勒索病毒;
所述异常识别模块,还用于将所述目标可执行文件的签名信息与所述文件所在路径中的其他可执行文件的签名信息进行比较,在签名信息存在区别时,将第一异常识别结果设置为异常状态;将所述目标可执行文件的创建时刻与所述文件所在路径中的其他可执行文件的创建时刻进行比较,在创建时刻存在区别时,将第一异常识别结果设置为异常状态;
所述异常识别模块,还用于在所述行为特征为针对不同文件路径进行枚举目录操作时,将第二异常识别结果设置为异常状态;在所述行为特征为针对不同文件类型的文件进行访问时,将第二异常识别结果设置为异常状态;
所述异常识别模块,还用于在所述行为特征为根据对源文件中的数据进行加密后的数据生成目标文件,并删除所述源文件时,将第二异常识别结果设置为异常状态;在所述行为特征为对源文件的数据进行加密操作,并修改所述源文件的内存地址的操作时,将第二异常识别结果设置为异常状态。
6.一种勒索病毒识别设备,其特征在于,所述设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的勒索病毒识别程序,所述勒索病毒识别程序配置为实现如权利要求1至4中任一项所述的勒索病毒识别方法的步骤。
7.一种计算机存储介质,其特征在于,所述计算机存储介质上存储有勒索病毒识别程序,所述勒索病毒识别程序被处理器执行时实现如权利要求1至4任一项所述的勒索病毒识别方法的步骤。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310884960.8A CN116611066B (zh) | 2023-07-19 | 2023-07-19 | 勒索病毒识别方法、装置、设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202310884960.8A CN116611066B (zh) | 2023-07-19 | 2023-07-19 | 勒索病毒识别方法、装置、设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN116611066A CN116611066A (zh) | 2023-08-18 |
| CN116611066B true CN116611066B (zh) | 2024-03-22 |
Family
ID=87676817
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202310884960.8A Active CN116611066B (zh) | 2023-07-19 | 2023-07-19 | 勒索病毒识别方法、装置、设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN116611066B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN117093995B (zh) * | 2023-10-17 | 2024-02-06 | 深圳市科力锐科技有限公司 | 病毒程序清除方法、装置、设备及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10007795B1 (en) * | 2014-02-13 | 2018-06-26 | Trend Micro Incorporated | Detection and recovery of documents that have been compromised by malware |
| CN110866248A (zh) * | 2018-11-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN114780922A (zh) * | 2022-05-11 | 2022-07-22 | 杭州安恒信息技术股份有限公司 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
-
2023
- 2023-07-19 CN CN202310884960.8A patent/CN116611066B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US10007795B1 (en) * | 2014-02-13 | 2018-06-26 | Trend Micro Incorporated | Detection and recovery of documents that have been compromised by malware |
| CN110866248A (zh) * | 2018-11-28 | 2020-03-06 | 北京安天网络安全技术有限公司 | 一种勒索病毒识别方法、装置、电子设备及存储介质 |
| CN114780922A (zh) * | 2022-05-11 | 2022-07-22 | 杭州安恒信息技术股份有限公司 | 一种勒索软件识别方法、装置、电子设备及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN116611066A (zh) | 2023-08-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11645383B2 (en) | Early runtime detection and prevention of ransomware | |
| JP4828199B2 (ja) | アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法 | |
| US7257842B2 (en) | Pre-approval of computer files during a malware detection | |
| US20090038011A1 (en) | System and method of identifying and removing malware on a computer system | |
| US8181247B1 (en) | System and method for protecting a computer system from the activity of malicious objects | |
| JP5586216B2 (ja) | コンテキストアウェアによるリアルタイムコンピュータ保護システムおよび方法 | |
| RU2514140C1 (ru) | Система и способ увеличения качества обнаружений вредоносных объектов с использованием правил и приоритетов | |
| US8387147B2 (en) | Method and system for detecting and removing hidden pestware files | |
| US20100306851A1 (en) | Method and apparatus for preventing a vulnerability of a web browser from being exploited | |
| US9804948B2 (en) | System, method, and computer program product for simulating at least one of a virtual environment and a debugging environment to prevent unwanted code from executing | |
| US20060277183A1 (en) | System and method for neutralizing locked pestware files | |
| JP2011501278A (ja) | コンピュータにおける悪意プログラム自動保護方法及び装置 | |
| US20080010326A1 (en) | Method and system for securely deleting files from a computer storage device | |
| US8452744B2 (en) | System and method for analyzing locked files | |
| CN116611066B (zh) | 勒索病毒识别方法、装置、设备及存储介质 | |
| CN111125688B (zh) | 一种进程控制方法、装置及电子设备和存储介质 | |
| US8381300B2 (en) | Offline extraction of configuration data | |
| US8453242B2 (en) | System and method for scanning handles | |
| US20070094726A1 (en) | System and method for neutralizing pestware that is loaded by a desirable process | |
| WO2022225508A1 (en) | Prevention and remediation of malware based on selective presentation of files to processes | |
| US20070094733A1 (en) | System and method for neutralizing pestware residing in executable memory | |
| EP2584484A1 (en) | System and method for protecting a computer system from the activity of malicious objects | |
| JP5392494B2 (ja) | ファイルチェック装置、ファイルチェックプログラムおよびファイルチェック方法 | |
| WO2008017950A2 (en) | System and method for protecting a computer from malware (malicious software) in an executable file based on removal criteria | |
| KR100937010B1 (ko) | 유해 프로세스 검출/차단 재발방지 방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |