CN117390623A - 一种勒索病毒加密文件恢复方法、装置、设备和介质 - Google Patents

一种勒索病毒加密文件恢复方法、装置、设备和介质 Download PDF

Info

Publication number
CN117390623A
CN117390623A CN202311002500.4A CN202311002500A CN117390623A CN 117390623 A CN117390623 A CN 117390623A CN 202311002500 A CN202311002500 A CN 202311002500A CN 117390623 A CN117390623 A CN 117390623A
Authority
CN
China
Prior art keywords
file
original
lux
image area
mirror image
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311002500.4A
Other languages
English (en)
Inventor
胡涛涛
郑尧
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
DBAPPSecurity Co Ltd
Original Assignee
DBAPPSecurity Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by DBAPPSecurity Co Ltd filed Critical DBAPPSecurity Co Ltd
Priority to CN202311002500.4A priority Critical patent/CN117390623A/zh
Publication of CN117390623A publication Critical patent/CN117390623A/zh
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Virology (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Quality & Reliability (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)

Abstract

本发明公开了一种勒索病毒加密文件恢复方法、装置、设备和介质,涉及计算机技术领域,其中方法包括:获取系统中的文件操作,并将文件操作重定向至镜像区;其中,文件操作为文件写入操作、文件删除操作和文件重命名至少一种;根据文件操作,修改镜像区中的文件,得到新的文件;确定执行文件操作是否发生勒索事件;若发生勒索事件,则断开重定向,不更新系统中与文件操作对应的原始文件;若未发生勒索事件,则根据新的文件,更新系统中与文件操作对应的原始文件。本发明中重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力。

Description

一种勒索病毒加密文件恢复方法、装置、设备和介质
技术领域
本发明涉及计算机技术领域,特别涉及一种勒索病毒加密文件恢复方法、装置、设备和介质。
背景技术
勒索病毒是通过加密受感染计算机上的文件,并要求受害者支付赎金才能解密文件。这种威胁对企业和个人造成了严重的损失和影响。对企业而言,勒索病毒会导致业务中断,影响生产和服务的正常运行,以及对于关键数据的加密可能导致无法访问重要文件、数据库和应用程序,使业务流程陷入瘫痪,此外,还可能导致敏感信息的泄露,损害企业的声誉和客户信任。对个人而言,勒索病毒可能导致个人文件的丢失或被加密、身份信息的盗取和滥用等问题,严重损害个人的权益。
目前现在的防护勒索病毒方案主要侧重于通过检测和识别已知的勒索病毒样本或特征,从而避免勒索病毒侵害计算机系统,或通过备份的方式避免勒索病毒损害文件,但由于恶意软件的不断演进和变异,新的勒索病毒不断涌现,未知的变种和零日攻击可能会绕过传统的检测机制,导致防护方案无法及时识别和阻止新型勒索病毒的攻击。以及传统的检测方案可能对系统性能产生较大的负担,尤其是在大规模文件操作和实时保护的情况下,可能导致系统运行变慢或卡顿,影响用户体验和工作效率。
发明内容
本发明的目的是提供一种勒索病毒加密文件恢复方法、装置、设备和介质,可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。
依据本发明的一个方面,本发明提供了一种勒索病毒加密文件恢复方法,包括:
获取系统中的文件操作,并将所述文件操作重定向至镜像区;其中,所述文件操作为文件写入操作、文件删除操作和文件重命名至少一种;
根据所述文件操作,操作所述镜像区中的文件,得到新的文件;
确定执行所述文件操作是否发生勒索事件;
若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件;
若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件。
可选地,所述根据所述文件操作,操作所述镜像区中的文件,得到新的文件,其中,所述文件操作为文件删除操作,包括:
根据所述文件删除操作,将所述系统中与所述文件删除操作对应的原始文件移动至所述镜像区,得到待删除的文件;
相应的,所述若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件,包括:
若发生所述勒索事件,则将待删除的所述文件,转移至所述系统恢复对应的所述原始文件;
相应的,所述若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件,包括:
若未发生所述勒索事件,则根据待删除的所述文件,删除所述系统中对应的所述原始文件。
可选地,所述根据所述文件操作,操作所述镜像区中的文件,得到新的文件,其中,所述文件操作为文件重命名操作,包括:
根据所述文件重命名操作,记录所述系统中与所述文件重命名操作对应原始文件的源文件信息,和记录所述文件重命名操作的目标文件信息;
相应的,所述若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件,包括:
若发生所述勒索事件,则根据所述镜像区中记录的所述源文件信息和所述目标文件信息,进行反向重命名操作;
相应的,所述若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件,包括:
若未发生所述勒索事件,则根据所述目标文件信息,更新所述源文件信息。
可选地,所述获取系统中的文件操作之后,还包括:
利用文件过滤驱动和/或设置访问权限,构建所述镜像区。
可选地,所述勒索病毒加密文件恢复方法,还包括:
根据与所述文件操作对应的进程信息,构建历史修订;
相应的,确定执行所述文件操作是否发生勒索事件,包括:
根据所述历史修订,确定执行所述文件操作是否发生勒索事件。
可选地,所述获取系统中的文件操作,并将所述文件操作重定向至镜像区,包括:
获取系统中的文件操作,并确定发起所述文件操作对应的程序是否为潜在风险程序;
若为所述潜在风险程序,则将所述文件操作重定向至镜像区;
若不为所述潜在风险程序,则根据所述文件操作,操作所述系统中原始文件。
可选地,所述确定发起所述文件操作对应的程序是否为潜在风险程序,包括:
根据设置的白名单,确定发起所述文件操作对应的程序是否为潜在风险程序。
本发明还提供一种勒索病毒加密文件快速恢复的装置,包括:
重定向模块,用于获取系统中的文件操作,并将所述文件操作重定向至镜像区;其中,所述文件操作为文件写入操作、文件删除操作和文件重命名至少一种;
镜像模块,用于根据所述文件操作,修改所述镜像区中的文件,得到新的文件;
判断模块,用于确定执行所述文件操作是否发生勒索事件;
文件恢复模块,用于若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件;
更新模块,用于若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件。
本发明还提供一种计算机设备,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如上述所述的勒索病毒加密文件恢复方法。
本发明还提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如上述所述勒索病毒加密文件恢复方法的步骤。
可见,本发明实施例可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。本申请还提供一种勒索病毒加密文件恢复装置、设备和介质,具有上述有益效果。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本发明实施例所提供的一种勒索病毒加密文件恢复方法的流程图;
图2为本发明实施例所提供的一种构建的具体的镜像区示例图;
图3为本发明实施例所提供的基于写入操作的勒索病毒加密文件恢复方法的流程图;
图4为本发明实施例所提供的基于删除操作的勒索病毒加密文件恢复方法的流程图;
图5为本发明实施例所提供的基于重命名操作的勒索病毒加密文件恢复方法的流程图;
图6为本发明实施例所提供的一种勒索病毒加密文件恢复装置的结构框图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
目前现在的防护勒索病毒方案主要侧重于通过检测和识别已知的勒索病毒样本或特征,从而避免勒索病毒侵害计算机系统,或通过备份的方式避免勒索病毒损害文件,即将相应文档复制备份到指定目录下,但这个操作必须是一个同步的操作,也就是得等待文件同步复制完成以后,系统才能响应其他操作,降低了电脑性能和用户体验。以及由于恶意软件的不断演进和变异,新的勒索病毒不断涌现,未知的变种和零日攻击可能会绕过传统的检测机制,导致防护方案无法及时识别和阻止新型勒索病毒的攻击。传统的检测方案中挂起进程是为了监控备份文档的操作行为。然而,挂起进程会带来额外的性能开销,可能影响系统的运行效率和用户体验。并且勒索病毒加密文件的方式并不限于直接修改原文件,有些勒索软件可能会对文件内容进行随机加密,而不一定修改文件格式,有些勒索病毒会创建新的加密文件并删除原始文件。在这种情况下,依靠文件格式的变化来判断勒索病毒存在是不严谨的,可能无法准确识别勒索病毒。
鉴于此,本发明提供了一种勒索病毒加密文件恢复方法,可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。
下面进行详细介绍,请参考图1,图1为本发明实施例所提供的一种勒索病毒加密文件恢复方法的流程图,本发明实施例一种勒索病毒加密文件恢复方法可以包括:
步骤S101:获取系统中的文件操作,并将文件操作重定向至镜像区;其中,文件操作为文件写入操作、文件删除操作和文件重命名至少一种。
本发明实施例中文件操作为文件写入操作、文件删除操作和文件重命名中至少一种,其中,文件写入操作可以包含修改文件和访问文件等操作。重定向为将某个操作或数据流的目标改变或转移至另一个位置或目标。需要说明的是,本发明实施例中重定向的概念为将潜在风险程序对文件的操作从原始文件的位置转移到镜像区。
本发明实施例中可以获取系统中的文件操作,并将文件操作重定向至镜像区,可以为获取系统中的文件操作,并确定发起文件操作对应的程序是否为潜在风险程序,若为潜在风险程序,则将文件操作重定向至镜像区,若不为潜在风险程序,则根据文件操作,操作系统中原始文件。其中,潜在风险程序为与系统的安全策略或授权规则不符合的程序。本发明实施例中可以引入白名单过滤的机制以判断潜在风险程序,即可以根据设置的白名单,确定发起文件操作对应的程序是否为潜在风险程序,当程序存在于白名单中,则该程序不为潜在风险程序,当程序不存在于白名单中,则该程序为潜在风险程序,通过白名单过滤,可以减少重定向的次数,提高系统的运行效率和响应速度。其中,对于白名单的设置不做限制,可以由设计人员根据需求设置,也可以根据实际的使用情况设置。
需要说明的是,本发明实施例中在获取系统中的文件操作之后,还可以基于保证镜像区中文件安全的方法,构建镜像区。其中,镜像区为在实际物理磁盘分区上划分出的一块区域,与实际文件之间建立了一对一的对应关系,例如构建如图2所示的镜像区,在实际物理磁盘上构建镜像区,其中,镜像区中的文件与系统中C盘上的文件1、文件2……文件n一一对应。其中,由于每个物理磁盘分区上均存在一个镜像区,文件重定向时可以优先重定向到同一个分区上,以提升性能。
需要说明的是,本发明实施例中对于保证镜像区中文件安全的方法不做限制。可以利用文件过滤驱动技术保证文件安全,其中,文件过滤驱动技术可以将镜像区中文件设置为隐藏状态,实现镜像区中的文件在普通的文件浏览器或文件管理器中不可见,使得用户无法直接访问或修改镜像区中的文件,从而保证文件的安全。可以为利用访问权限设置保证文件安全,例如针对镜像区文件,可以设置高级的访问权限,如只允许特定的用户或用户组访问,或通过细粒度的权限控制,防止未经授权的用户读取镜像区文件的内容,从而保证文件的安全。也可以为利用物理隔离的方法保证文件安全,可以为选择将镜像区中文件存储在外部的物理存储设备中,如专用的加密硬盘或加密USB驱动器,以实现物理隔离,即将镜像区文件与主系统的存储分离,防止未经授权的用户读取,增加了对文件的保护,保证文件安全,提高了文件的安全性。
本发明实施例中将文件操作重定向至镜像区的方式,当系统中的文件被潜在风险程序操作时,则会在镜像区生成一个该文件的镜像文件,对于此文件的操作,实际作用于镜像文件,而系统中的文件并未被操作,实际磁盘上的文件得到了保护。即使发生勒索病毒攻击并对镜像区中的文件进行加密,也不会影响镜像区外的原始文件。另外便于后续文件的快速恢复,即当用户确认当前时刻没有发生勒索事件时,可以向系统发出指令,系统会将镜像区的文件覆盖原始文件,确保原始文件可以被正常更新,当真正发生勒索事件时,可以仅抹掉勒索病毒造成的危害,确保用户的文件可以还原到最近的一次正常状态。
步骤S102:根据文件操作,操作镜像区中的文件,得到新的文件。
本发明实施例中可以根据不同的文件操作,对镜像区中的文件执行对应的操作,可以根据文件写入操作,对镜像区中的文件执行修改文件和访问文件等操作,可以根据文件删除操作,将系统中与文件删除操作对应的原始文件移动至镜像区,得到待删除的文件,并在镜像区中记录待删除的文件,也可以根据文件重命名操作,记录系统中与文件重命名操作对应原始文件的源文件信息,记录文件重命名操作的目标文件信息,并源文件信息和目标文件信息保存在镜像区中。
本发明实施例中通过操作镜像区中文件的方式,避免了对原始文件造成损害的同时,便于后续快速恢复文件。
步骤S103:确定执行文件操作是否发生勒索事件,若发生勒索事件,则执行步骤S104,若未发生勒索事件,则执行步骤S105。
本发明实施例中勒索事件为发生勒索病毒的事件,其中,勒索病毒为一种恶意软件,当勒索病毒感染企业的计算机系统时,会加密关键的业务文件,使其无法被访问和使用,从而导致企业的日常运营受到阻碍,业务流程中断,员工无法正常工作,从而造成生产力和效益的严重下降。也可能会导致数据丢失或泄露,对企业声誉和客户信任造成负面影响,此外,企业在遭受勒索病毒攻击时,还可能面临经济损失,例如勒索病毒通常要求受害者支付赎金以获取解密密钥,并且恢复受感染系统和数据的过程也需要投入大量的时间、人力和资源,给企业带来额外的成本负担。
本发明实施例中可以确定执行文件操作是否发生勒索事件,可以确定所有的执行文件操作是否发生勒索事件,包括确定执行文件写入操作是否发生勒索事件,确定执行文件删除操作是否发生勒索事件,确定执行文件重命名操作是否发生勒索事件等。
本发明实施例中对于确定执行文件操作是否发生勒索事件的判断方式不做限制,由于勒索病毒通常会修改文件的扩展名,使其无法正常打开,因此可以通过确定文件是否发生异常扩展名的方式确定是否发生勒索事件,即可以检查文件扩展名是否与原始文件不一致,如果发现大量文件的扩展名异常,则大概率发生了勒索事件,可以为确定文件是否无法打开,若大量文件都无法打开,且没有其它明显的原因导致无法打开,则大概率发生了勒索事件,也可以为确定桌面背景提示是否发生了更改,若注意到桌面背景发生了改变,且出现异常信息如要求支付赎金的通知,则大概率发生了勒索事件。
需要说明的是,本发明实施例还可以根据与文件操作对应的进程信息,构建历史修订,其中,历史修订为进程信息与对应进程信息的文件的历史关系,可以为根据历史修订,确定执行文件操作是否发生勒索事件,针对性地对发生勒索事件的原始文件进行文件恢复,对未发生勒索事件的文件进行文件更新。本发明实施例中通过历史修订,记录每个进程的文件操作并进行重定向,在文件恢复时,可以准确地标识出受到勒索病毒影响的文件和进程,并根据历史修订中记录的重定向信息,有选择性地恢复受到勒索病毒进程加密的文件,而不必恢复系统中所有的文件,实现更加精确地针对勒索病毒进程加密的文件进行恢复,从而更接近病毒爆发前的系统状态,大大提高文件恢复效率,减少系统资源消耗的同时,节省恢复过程的时间和资源。
步骤S104:断开重定向,不更新系统中与文件操作对应的原始文件。
本发明实施例中可以断开重定向,不更新系统中与文件操作对应的原始文件,可以根据不同的文件操作,执行对应的文件恢复操作,当文件操作为文件写入操作时,可以为断开重定向,不更新系统中与文件操作对应的原始文件,当文件操作为文件删除操作时,可以为断开重定向并将待删除的文件,转移至系统恢复对应的原始文件,同时不更新系统中与文件操作对应的原始文件,当文件操作为文件重命名操作时,可以为断开重定向并根据镜像区中记录的源文件信息和目标文件信息,进行反向重命名操作,同时不更新系统中与文件操作对应的原始文件。
本发明实施例中通过断开重定向,恢复原始文件的方式,整个过程中避免产生磁盘的输入和输出,实现了可以快速恢复文件,提高了文件恢复的效率。
步骤S105:根据新的文件,更新系统中与文件操作对应的原始文件。
本发明实施例中可以根据新的文件,更新系统中与文件操作对应的原始文件。可以为将根据镜像区中新的文件,对原始文件进行覆盖,实现更新原始文件,以保证最近一次正常变更的文件能尽量接近恢复状态。其中,可以设置自动写回的时间阈值,然后根据预设的时间阈值,周期性地根据镜像区中新的文件,对原始文件进行覆盖,其中,对于时间阈值的设置不做限制,可以为设计人员根据需求进行设置,也可以为设计人员根据实际使用情况进行设置。
需要说明的是,本发明实施例中可以根据不同的文件操作,执行对应的文件更新操作,当文件操作为文件写入操作时,可以将执行完文件写入操作的新文件,对原始文件进行覆盖,即将原始文件更新为新文件,当文件操作为文件删除操作时,可以根据镜像区中记录待删除的文件,删除系统中对应的原始文件,当文件操作为文件重命名操作时,可以根据镜像区中记录的目标文件信息,更新源文件信息。
基于上述实施例,本发明实施例提供了一种勒索病毒加密文件恢复方法,可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。
基于上述实施例,本发明实施例中提供了一种具体的文件写入操作时,勒索病毒加密文件恢复方法,请参考图3,图3为本发明实施例所提供的基于写入操作的勒索病毒加密文件恢复方法的流程图,可以包括:
步骤S201:获取系统中的文件写入操作,并将文件写入操作重定向至镜像区。
本发明实施例中可以利用文件过滤驱动获取系统中的文件写入操作,并将文件写入操作重定向至镜像区。其中,文件过滤驱动为在操作系统中拦截和过滤文件相关操作或事件的软件组件或模块,用于监控和控制系统中应用程序或进程对文件的操作,可以捕获和重定向潜在风险程序对文件的写入操作,并将这些操作重定向到镜像区,从而保护原始文件免受潜在风险程序的影响。需要说明的是,文件过滤驱动还能够根据预设需求对文件进行过滤,以提高性能并避免不必要的重定向。便于后续能够快速恢复被勒索病毒加密的文件,确保数据的完整性和可用性。具体的例如当潜在风险程序尝试对文件进行写入时,文件过滤驱动可以拦截并捕获这个操作,并将其重定向到预先划分的镜像区域。重定向后,潜在风险程序对文件的写入操作实际上是在镜像区的文件上进行的,而原始文件保持不变,实现即便潜在风险程序对文件进行了修改或加密,原始文件仍然保留着最初的状态,不受潜在风险程序的影响。
步骤S202:根据文件写入操作,操作镜像区中的文件,得到新的文件。
步骤S203:确定执行文件写入操作是否发生勒索事件,若发生勒索事件,则执行步骤S204,若未发生勒索事件,则执行步骤S205。
步骤S204:断开重定向,不更新系统中与文件操作对应的原始文件。
本发明实施例中由于文件写入操作的执行对象为镜像区中的文件,因此直接断开重定向,并且不更新系统中与文件操作对应的原始文件,即可实现文件快速恢复。
步骤S205:根据新的文件,更新系统中与文件操作对应的原始文件。
本发明实施例中文件写入操作的执行对象为镜像区中的文件,对镜像区中的文件进行了操作得到新文件,由于未发生勒索事件,因此可以根据新文件,更新系统中与文件操作对应的原始文件,将原始文件更新为新文件。
基于上述任意实施例,本发明实施例中提供了一种具体的文件删除操作时,勒索病毒加密文件恢复方法,请参考图4,图4为本发明实施例所提供的基于删除操作的勒索病毒加密文件恢复方法的流程图,可以包括:
步骤S301:获取系统中的文件删除操作,并将文件删除操作重定向至镜像区。
步骤S302:根据文件删除操作,将系统中与文件删除操作对应的原始文件移动至镜像区,得到待删除的文件。
步骤S303:确定执行文件删除操作是否发生勒索事件,若发生勒索事件,则执行步骤S304,若未发生勒索事件,则执行步骤S305。
步骤S304:将待删除的文件,转移至系统恢复对应的原始文件。
步骤S305:根据待删除的文件,删除系统中对应的原始文件。
本发明实施例中可以根据镜像区中记录待删除的文件,删除系统中对应的原始文件,完成文件删除操作,也可以在镜像区中将待删除的文件删除,然后根据镜像区中的文件,对原始文件进行覆盖,当系统中的原始文件不存在于镜像区中时,将系统中原始文件删除。
基于上述任意实施例,本发明实施例中提供了一种具体的文件重命名操作时,勒索病毒加密文件恢复方法,请参考图5,图5为本发明实施例所提供的基于重命名操作的勒索病毒加密文件恢复方法的流程图,可以包括:
步骤S401:获取系统中的文件重命名操作,并将文件重命名操作重定向至镜像区。
步骤S402:根据文件重命名操作,记录系统中与文件重命名操作对应原始文件的源文件信息,和记录文件重命名操作的目标文件信息。
本发明实施例中源文件信息可以包括原始文件的名称和位置等文件信息,目标文件信息可以包含目标文件的名称和位置等文件信息。
步骤S403:确定执行文件重命名操作是否发生勒索事件,若发生勒索事件,则执行步骤S404,若未发生勒索事件,则执行步骤S405。
步骤S404:根据镜像区中记录的源文件信息和目标文件信息,进行反向重命名操作。
本发明实施例中反向重命名操作为将修改后的目标文件信息反向修改为源文件信息,例如对原始文件执行重命名操作后,原始文件的名称更新为目标文件信息中目标文件的名称,执行反向重命名操作为将目标文件的名称反向重命名成源文件信息中该原始文件的名称。
步骤S405:根据目标文件信息,更新源文件信息。
本发明实施例中可以根据目标文件信息,对原始文件的源文件信息进行覆盖,相当于对原始文件的源文件信息进行更新,将源文件信息更新为目标文件信息。
下面对本发明实施例所提供的一种勒索病毒加密文件恢复装置以及计算机设备进行介绍,下文描述的勒索病毒加密文件恢复装置以及计算机设备与上文描述的勒索病毒加密文件恢复方法可相互对应参照。
请参考图6,图6为本发明实施例所提供的一种勒索病毒加密文件恢复装置的结构框图,该装置可以包括:
重定向模块11,用于获取系统中的文件操作,并将所述文件操作重定向至镜像区;其中,所述文件操作为文件写入操作、文件删除操作和文件重命名至少一种;
镜像模块12,用于根据所述文件操作,修改所述镜像区中的文件,得到新的文件;
判断模块13,用于确定执行所述文件操作是否发生勒索事件;
本发明实施例中还可以根据所述历史修订,确定执行所述文件操作是否发生勒索事件。
文件恢复模块14,用于若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件;
更新模块15,用于若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件。
基于上述实施例,所述重定向模块11,可以包括:
判断单元,用于获取系统中的文件操作,并确定发起所述文件操作对应的程序是否为潜在风险程序;可以为根据设置的白名单,确定发起文件操作对应的程序是否为潜在风险程序;
重定向单元,用于若为所述潜在风险程序,则将所述文件操作重定向至镜像区;
操作单元,用于若不为所述潜在风险程序,则根据所述文件操作,操作所述系统中原始文件。
基于上述任意实施例,所述镜像模块12,可以包括:
文件删除单元,用于根据所述文件删除操作,将所述系统中与所述文件删除操作对应的原始文件移动至所述镜像区,得到待删除的文件;
文件重命名单元,用于根据所述文件重命名操作,记录所述系统中与所述文件重命名操作对应原始文件的源文件信息,和记录所述文件重命名操作的目标文件信息。
基于上述任意实施例,所述文件恢复模块14,可以包括:
删除操作恢复单元,用于将待删除的所述文件,转移至所述系统恢复对应的所述原始文件;
重命名操作恢复单元,用于根据所述镜像区中记录的所述源文件信息和所述目标文件信息,进行反向重命名操作。
基于上述任意实施例,所述更新模块15,可以包括:
删除操作更新单元,用于根据待删除的所述文件,删除所述系统中对应的所述原始文件;
重命名操作更新单元,用于根据所述目标文件信息,更新所述源文件信息。
基于上述任意实施例,所述勒索病毒加密文件恢复装置,可以包括:
构建模块,用于利用文件过滤驱动和/或设置访问权限,构建所述镜像区;
日志模块,用于根据与所述文件操作对应的进程信息,构建历史修订。
本发明实施例可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。
请参考图7,图7为本发明实施例所提供的一种计算机设备的结构框图,该设备包括:
存储器10,用于存储计算机程序;
处理器20,用于执行所述计算机程序时,以实现上述的勒索病毒加密文件恢复方法。
如图7所示,为计算机设备的结构示意图,可以包括:存储器10、处理器20、通信接口31、输入输出接口32以及通信总线33。
在本发明实施例中,存储器10中用于存放一个或者一个以上程序,程序可以包括程序代码,程序代码包括计算机操作指令,在本申请实施例中,存储器10中可以存储有用于实现以下功能的程序:
获取系统中的文件操作,并将文件操作重定向至镜像区;其中,文件操作为文件写入操作、文件删除操作和文件重命名至少一种;
根据文件操作,修改镜像区中的文件,得到新的文件;确定执行文件操作是否发生勒索事件;
若发生勒索事件,则断开重定向,不更新系统中与文件操作对应的原始文件;
若未发生勒索事件,则根据新的文件,更新系统中与文件操作对应的原始文件。
在一种可能的实现方式中,存储器10可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统,以及至少一个功能所需的应用程序等;存储数据区可存储使用过程中所创建的数据。
此外,存储器10可以包括只读存储器和随机存取存储器,并向处理器提供指令和数据。存储器的一部分还可以包括NVRAM。存储器存储有操作系统和操作指令、可执行模块或者数据结构,或者它们的子集,或者它们的扩展集,其中,操作指令可包括各种操作指令,用于实现各种操作。操作系统可以包括各种系统程序,用于实现各种基础任务以及处理基于硬件的任务。
处理器20可以为中央处理器(Central Processing Unit,CPU)、特定应用集成电路、数字信号处理器、现场可编程门阵列或者其他可编程逻辑器件,处理器20可以是微处理器或者也可以是任何常规的处理器等。处理器20可以调用存储器10中存储的程序。
通信接口31可以为用于与其他设备或者系统连接的接口。
输入输出接口32可以为用于获取外界输入数据或向外界输出数据的接口。
当然,需要说明的是,图7所示的结构并不构成对本申请实施例中计算机设备的限定,在实际应用中计算机设备可以包括比图7所示的更多或更少的部件,或者组合某些部件。
本发明实施例可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。
本发明实施例还提供一种计算机可读存储介质,计算机可读存储介质中存储有计算机可执行指令,计算机可执行指令被处理器加载并执行时,实现获取系统中的文件操作,并将文件操作重定向至镜像区;其中,文件操作为文件写入操作、文件删除操作和文件重命名至少一种;根据文件操作,修改镜像区中的文件,得到新的文件;确定执行文件操作是否发生勒索事件;若发生勒索事件,则断开重定向,不更新系统中与文件操作对应的原始文件;若未发生勒索事件,则根据新的文件,更新系统中与文件操作对应的原始文件。本发明实施例可以不依赖检测技术检测勒索病毒,避免了检测带来的漏报与误报问题,覆盖范围更广,并且重定向功能不仅适用于文件的修改操作,还包括删除和重命名等操作,保护了文件的完整性和安全性。同时,当需要恢复文件时,可以快速地从镜像区恢复,提供了快速恢复文件的能力,提高了用户的使用体验。
说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
以上对本发明所提供的一种勒索病毒加密文件恢复方法、装置、设备和介质进行了详细介绍。本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的方法及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。

Claims (10)

1.一种勒索病毒加密文件恢复方法,其特征在于,包括:
获取系统中的文件操作,并将所述文件操作重定向至镜像区;其中,所述文件操作为文件写入操作、文件删除操作和文件重命名至少一种;
根据所述文件操作,操作所述镜像区中的文件,得到新的文件;
确定执行所述文件操作是否发生勒索事件;
若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件;
若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件。
2.如权利要求1所述的勒索病毒加密文件恢复方法,其特征在于,所述根据所述文件操作,操作所述镜像区中的文件,得到新的文件,其中,所述文件操作为文件删除操作,包括:
根据所述文件删除操作,将所述系统中与所述文件删除操作对应的原始文件移动至所述镜像区,得到待删除的文件;
相应的,所述若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件,包括:
若发生所述勒索事件,则将待删除的所述文件,转移至所述系统恢复对应的所述原始文件;
相应的,所述若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件,包括:
若未发生所述勒索事件,则根据待删除的所述文件,删除所述系统中对应的所述原始文件。
3.如权利要求1所述的勒索病毒加密文件恢复方法,其特征在于,所述根据所述文件操作,操作所述镜像区中的文件,得到新的文件,其中,所述文件操作为文件重命名操作,包括:
根据所述文件重命名操作,记录所述系统中与所述文件重命名操作对应原始文件的源文件信息,和记录所述文件重命名操作的目标文件信息;
相应的,所述若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件,包括:
若发生所述勒索事件,则根据所述镜像区中记录的所述源文件信息和所述目标文件信息,进行反向重命名操作;
相应的,所述若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件,包括:
若未发生所述勒索事件,则根据所述目标文件信息,更新所述源文件信息。
4.如权利要求1所述的勒索病毒加密文件恢复方法,其特征在于,所述获取系统中的文件操作之后,还包括:
利用文件过滤驱动和/或设置访问权限,构建所述镜像区。
5.如权利要求1所述的勒索病毒加密文件恢复方法,其特征在于,还包括:
根据与所述文件操作对应的进程信息,构建历史修订;
相应的,确定执行所述文件操作是否发生勒索事件,包括:
根据所述历史修订,确定执行所述文件操作是否发生勒索事件。
6.如权利要求1所述的勒索病毒加密文件恢复方法,其特征在于,所述获取系统中的文件操作,并将所述文件操作重定向至镜像区,包括:
获取系统中的文件操作,并确定发起所述文件操作对应的程序是否为潜在风险程序;
若为所述潜在风险程序,则将所述文件操作重定向至镜像区;
若不为所述潜在风险程序,则根据所述文件操作,操作所述系统中原始文件。
7.如权利要求6所述的勒索病毒加密文件恢复方法,其特征在于,所述确定发起所述文件操作对应的程序是否为潜在风险程序,包括:
根据设置的白名单,确定发起所述文件操作对应的程序是否为潜在风险程序。
8.一种勒索病毒加密文件快速恢复的装置,其特征在于,包括:
重定向模块,用于获取系统中的文件操作,并将所述文件操作重定向至镜像区;其中,所述文件操作为文件写入操作、文件删除操作和文件重命名至少一种;
镜像模块,用于根据所述文件操作,修改所述镜像区中的文件,得到新的文件;
判断模块,用于确定执行所述文件操作是否发生勒索事件;
文件恢复模块,用于若发生所述勒索事件,则断开所述重定向,不更新所述系统中与所述文件操作对应的原始文件;
更新模块,用于若未发生所述勒索事件,则根据新的所述文件,更新所述系统中与所述文件操作对应的原始文件。
9.一种计算机设备,其特征在于,包括:
存储器,用于存储计算机程序;
处理器,用于执行所述计算机程序时实现如权利要求1至7任一项所述的勒索病毒加密文件恢复方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机可执行指令,所述计算机可执行指令被处理器加载并执行时,实现如权利要求1至7任一项所述勒索病毒加密文件恢复方法的步骤。
CN202311002500.4A 2023-08-10 2023-08-10 一种勒索病毒加密文件恢复方法、装置、设备和介质 Pending CN117390623A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311002500.4A CN117390623A (zh) 2023-08-10 2023-08-10 一种勒索病毒加密文件恢复方法、装置、设备和介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311002500.4A CN117390623A (zh) 2023-08-10 2023-08-10 一种勒索病毒加密文件恢复方法、装置、设备和介质

Publications (1)

Publication Number Publication Date
CN117390623A true CN117390623A (zh) 2024-01-12

Family

ID=89439867

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311002500.4A Pending CN117390623A (zh) 2023-08-10 2023-08-10 一种勒索病毒加密文件恢复方法、装置、设备和介质

Country Status (1)

Country Link
CN (1) CN117390623A (zh)

Similar Documents

Publication Publication Date Title
EP3479280B1 (en) Ransomware protection for cloud file storage
JP6689992B2 (ja) 潜在的ランサムウェアを検出することに応答してファイルバックアップを変更するためのシステム及び方法
EP3374922B1 (en) Systems and methods for protecting backed-up data from ransomware attacks
JP6352332B2 (ja) 変更されたデータを復元するシステム及び方法
US20180375826A1 (en) Active network backup device
US9317686B1 (en) File backup to combat ransomware
JP4406627B2 (ja) 仮想マシンまたは強化オペレーティングシステムなどにおけるコンピュータのセキュリティ管理
US9069955B2 (en) File system level data protection during potential security breach
US10783041B2 (en) Backup and recovery of data files using hard links
US10210330B1 (en) Systems and methods for detecting malicious processes that encrypt files
JP2018522359A (ja) コンピューティングプロセス内の未知の脆弱性を検出するためのシステム及び方法
US20190228147A1 (en) Data Recovery Enhancement System
US20210182392A1 (en) Method for Detecting and Defeating Ransomware
US9811659B1 (en) Systems and methods for time-shifted detection of security threats
US9166995B1 (en) Systems and methods for using user-input information to identify computer security threats
US10466924B1 (en) Systems and methods for generating memory images of computing devices
Yalew et al. Hail to the Thief: Protecting data from mobile ransomware with ransomsafedroid
US8108935B1 (en) Methods and systems for protecting active copies of data
WO2024208194A1 (zh) 数据保护方法及系统、存储服务器和客户端
US10262135B1 (en) Systems and methods for detecting and addressing suspicious file restore activities
RU2622630C2 (ru) Система и способ восстановления модифицированных данных
CN117390623A (zh) 一种勒索病毒加密文件恢复方法、装置、设备和介质
JP2017204173A (ja) データ保護プログラム、データ保護方法及びデータ保護装置
Grizzard et al. Re-establishing trust in compromised systems: recovering from rootkits that trojan the system call table
CN112597492A (zh) 一种基于Windows内核的二进制可执行文件更改监测方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination