CN110874474A - 勒索者病毒防御方法、装置、电子设备及存储介质 - Google Patents

勒索者病毒防御方法、装置、电子设备及存储介质 Download PDF

Info

Publication number
CN110874474A
CN110874474A CN201811579545.7A CN201811579545A CN110874474A CN 110874474 A CN110874474 A CN 110874474A CN 201811579545 A CN201811579545 A CN 201811579545A CN 110874474 A CN110874474 A CN 110874474A
Authority
CN
China
Prior art keywords
currently created
file handle
virus
file
created file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN201811579545.7A
Other languages
English (en)
Inventor
张婷
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing Ahtech Network Safe Technology Ltd
Original Assignee
Beijing Ahtech Network Safe Technology Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing Ahtech Network Safe Technology Ltd filed Critical Beijing Ahtech Network Safe Technology Ltd
Priority to CN201811579545.7A priority Critical patent/CN110874474A/zh
Publication of CN110874474A publication Critical patent/CN110874474A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/562Static detection
    • G06F21/565Static detection by checking file integrity
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/568Computer malware detection or handling, e.g. anti-virus arrangements eliminating virus, restoring damaged files
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)

Abstract

本发明实施例公开一种勒索者病毒防御方法、装置、电子设备及存储介质,涉及网络安全技术领域,为能够及时有效地识别勒索者病毒而发明。所述勒索者病毒防御方法,包括:对文件句柄的创建进行监控;若当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限;若当前创建的文件句柄的属性中具有写权限,则查询当前创建的文件句柄所属进程;判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征;若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程。本发明适用于勒索者病毒的识别及文件恢复。

Description

勒索者病毒防御方法、装置、电子设备及存储介质
技术领域
本发明涉及网络安全技术领域,尤其涉及一种勒索者病毒防御方法、装置、电子设备及存储介质。
背景技术
目前勒索者病毒由于其带来的受益性,已经越来越受各种不法分子的青睐。各式各样的勒索者病毒版本络绎不绝地爆发。受感染的用户,不再只针对个人用户,各企事业单位均受到不同程度的影响,带来的危机也越来越大。
如何及时有效地识别勒索者病毒,成了各个杀毒厂商关心的热点。
发明内容
有鉴于此,本发明实施例提供一种勒索者病毒防御方法、装置、电子设备及存储介质,能够及时有效地识别勒索者病毒。
第一方面,本发明实施例提供一种勒索者病毒防御方法,包括:对文件句柄的创建进行监控;若当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限;若当前创建的文件句柄的属性中具有写权限,则查询当前创建的文件句柄所属进程;判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征;若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程。
根据本发明实施例的一种具体实现方式,所述判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征,包括:判断当前创建的文件句柄所属进程,所占用的文件句柄的数量是否达到预定的数量阈值;和/或,判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的后缀名是否相同;和/或,判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的路径是否存在不同的路径;其中,若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程,包括:若当前创建的文件句柄所属进程,所占用的文件句柄的数量达到预定的数量阈值,和/或,所占用的各文件句柄所对应的文件的后缀名相同,和/或,所占用的各文件句柄所对应的文件的路径存在不同的路径,则确定当前创建的文件句柄所属进程的特征,符合预定的判定特征。
根据本发明实施例的一种具体实现方式,若当前创建的文件句柄的属性中具有写权限,所述方法还包括:复制当前创建的文件句柄;对所述当前创建的文件句柄所对应的文件进行加密备份。
根据本发明实施例的一种具体实现方式,在确定当前创建的文件句柄所属进程为勒索者病毒的进程之后,所述方法还包括:利用加密备份的文件,对勒索者病毒所加密的文件进行恢复。
第二方面,本发明实施例提供一种勒索者病毒防御装置,包括:监控模块,用于对文件句柄的创建进行监控;第一判断模块,用于若当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限;查询模块,用于若当前创建的文件句柄的属性中具有写权限,则查询当前创建的文件句柄所属进程;第二判断模块,用于判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征;第三判断模块,用于若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程。
根据本发明实施例的一种具体实现方式,所述第二判断模块,包括:第一判断子模块,用于判断当前创建的文件句柄所属进程,所占用的文件句柄的数量是否达到预定的数量阈值;和/或,第二判断子模块,用于判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的后缀名是否相同;和/或,第三判断子模块,用于判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的路径是否存在不同的路径;其中,所述第三判断模块,用于若当前创建的文件句柄所属进程,所占用的文件句柄的数量达到预定的数量阈值,和/或,所占用的各文件句柄所对应的文件的后缀名相同,和/或,所占用的各文件句柄所对应的文件的路径存在不同的路径,则确定当前创建的文件句柄所属进程的特征,符合预定的判定特征。
根据本发明实施例的一种具体实现方式,所述装置还包括:复制模块,用于复制当前创建的文件句柄;备份模块,用于对所述当前创建的文件句柄所对应的文件进行加密备份。
根据本发明实施例的一种具体实现方式,所述装置还包括:恢复模块,用于利用加密备份的文件,对勒索者病毒所加密的文件进行恢复。
第三方面,本发明实施例提供一种电子设备,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实现方式所述的方法。
第四方面,本发明实施例提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一实现方式所述的方法。
本发明实施例提供的一种勒索者病毒防御方法、装置、电子设备及存储介质,通过对文件句柄的创建进行监控,若监控到当前有文件句柄创建,并判断当前创建的文件句柄的属性中的读写属性信息为写属性,则进一步判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征,若符合,则可确定当前创建的文件句柄所属进程为勒索者病毒的进程,这样,根据当前创建的文件句柄的属性,以及当前创建的文件句柄所属进程的特征,即可确定当前创建的文件句柄所属进程是否为勒索者病毒的进程,由此能够及时有效地识别勒索者病毒。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1为本发明提供的勒索者病毒防御方法实施例一的流程示意图;
图2为本发明提供的勒索者病毒防御方法实施例二的流程示意图;
图3为本发明提供的勒索者病毒防御方法实施例三的流程示意图;
图4为本发明提供的勒索者病毒防御方法实施例四的流程示意图;
图5为本发明提供的勒索者病毒防御装置实施例一的结构示意图;
图6为本发明提供的勒索者病毒防御装置实施例二的结构示意图;
图7为本发明提供的勒索者病毒防御装置实施例三的结构示意图;
图8为本发明提供的勒索者病毒防御装置实施例四的结构示意图;
图9为本发明实施例提供的电子设备实施例的结构示意图。
具体实施方式
下面结合附图对本发明实施例进行详细描述。
应当明确,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
第一方面,本发明实施例提供一种勒索者病毒防御方法,能够及时有效地识别勒索者病毒,并能对加密文件进行准确恢复。
图1为本发明提供的勒索者病毒防御方法实施例一的流程示意图,如图1所示,本实施例的方法可以包括步骤:
S101、对文件句柄的创建进行监控。
句柄是用来标识被应用程序所建立或使用的对象的唯一整数。常见的句柄有窗口句柄、设备描述表句柄、内存句柄、文件句柄、进程句柄、线程句柄等。其中,文件句柄是打开的文件的唯一的识别依据。要从一个文件中读取数据,应用程序需要调用操作***函数,并将文件句柄在内存中的地址和要拷贝的字节数传送给操作***函数。
本实施例中,可选地,可以通过Hook相关函数,如ZwCreateFile去感知文件句柄被创建。
通过监控,若确定当前有文件句柄创建,则执行步骤102,否则继续对文件句柄的创建进行监控。
S102、判断当前创建的文件句柄的属性中是否具有写权限。
本实施例中,若监控到当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限。
文件句柄的属性中通常可包括文件名、文件路径、读权限、写权限等属性信息。根据文件句柄的属性,即可确定对所打开的文件是否具有写权限。
本实施例中,可选地,可利用native api ZwQueryInformationFile获得文件句柄的属性信息
若当前创建的文件句柄的属性中具有写权限,则执行步骤103,否则继续执行步骤101。
步骤103、查询当前创建的文件句柄所属进程。
本实施例中,可先获取当前创建的文件句柄所属进程的ID(标识符),根据所述ID,获得当前创建的文件句柄所属进程。
可选地,可通过***快照获取当前创建的文件句柄所属进程的ID。
步骤104、判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征。
本实施例中,当前创建的文件句柄所属进程的特征,包括当前创建的文件句柄所属进程所占用的文件句柄的数量、所占用的文件句柄所对应的文件的后缀名、以及所占用的文件句柄所对应的文件的路径等。
在得到当前创建的文件句柄所属进程的ID之后,通过OpenProcess函数来获取该进程的句柄,根据该进程的句柄,可获得该进程的相关特征。
所述预定的判定特征,为预先建立的、与勒索者病毒进程特征相符的特征或特征库。该判定特征可预先通过对大量勒索者病毒的进程特征分析获得,也可根据新出现的勒索者病毒的进程特征,对该判定特征进行更新。
根据当前创建的文件句柄所属进程的特征,可判断其是否符合预定的判定特征。若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则执行步骤105,否则,继续执行步骤101。
步骤105、确定当前创建的文件句柄所属进程为勒索者病毒的进程。
正常的加密程序,通常会对选定的文件进行加密,其打开的文件句柄属性中的读写属性信息一般均为读属性。而勒索者病毒因为会对文件直接加密,其打开的文件句柄属性的读写属性信息一定是写属性,即具有写权限。因此,本实施例中,若监控到当前有文件句柄创建,并判断当前创建的文件句柄的属性中的读写属性信息为写属性,则可初步判断当前创建的文件句柄所属进程为可疑的勒索者病毒的进程,据此,可进一步判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征,若符合,则可确定当前创建的文件句柄所属进程为勒索者病毒的进程。
本实施例中,根据当前创建的文件句柄的属性,以及当前创建的文件句柄所属进程的特征,即可确定当前创建的文件句柄所属进程是否为勒索者病毒的进程,由此能够及时有效地识别勒索者病毒。
在确定当前创建的文件句柄所属进程为勒索者病毒的进程之后,可关闭该进程并可产生告警信息。
图2为本发明提供的勒索者病毒防御方法实施例二的流程示意图,如图2所示,与图1所示方法实施例的不同之处在于,本实施例中,所述判断当前创建的文件句柄所属进程的的特征,是否符合预定的判定特征(步骤104),可具体包括:
步骤1041、判断当前创建的文件句柄所属进程,所占用的文件句柄的数量是否达到预定的数量阈值;和/或,
步骤1042、判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的后缀名是否相同;和/或,
步骤1043、判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的路径是否存在不同的路径;
经过判断,若当前创建的文件句柄所属进程,所占用的文件句柄的数量达到预定的数量阈值,和/或,所占用的各文件句柄所对应的文件的后缀名相同,和/或,所占用的各文件句柄所对应的文件的路径存在不同的路径,则执行步骤105;其中,不同的路径包括具有相同盘符的不同路径,和具有不同盘符的不同路径。
本实施例中,所述数量阈值根据实际情况预先设定,比如可设定为20个、25个或30个等,数量阈值越高,准确度越高,但如果数量阈值过高,虽然准确度很高,但判定的及时性就会受到影响。为了能够在判断的准确度和及时性之间得到较好的平衡,本实施例中,所述数量阈值优选为20个。
正常的加密软件,通常会加密一个路径下的所有文件或几个特殊文件,很少会在某一时刻打开大量的不同盘符和不同路径的文件,很少会有20个以上的同后缀的文件句柄。也就是说,正常的加密软件打开文件的路径均为相同路径的文件,不会是不同盘符、不同路径的文件,且很少会有20个以上的同后缀的文件句柄。
而勒索者病毒会进行全盘的文件扫描并加密,势必会在运行期间同时打开多个文件,多个文件会有相同的后缀名和不同的路径,且通常会打开20个以上的文件。
因此,本实施例中,可通过对当前进程所占用的文件句柄的数量、后缀名、以及路径的判断,来对勒索者病毒进行判定识别。
具体应用时,对勒索者病毒的判定,可对当前进程所占用的文件句柄的数量、后缀名和路径中的至少一种进行判断,也可对当前进程所占用的文件句柄的数量、后缀名和路径三者均进行判断,以减少或避免误报的情况发生,提高对勒索者病毒判定的准确率。
在对当前进程所占用的文件句柄的数量、后缀名和路径三者均进行判断时,可先对文件句柄的数量进行判断,只有当文件句柄的数量达到预定的数量阈值(如20个)时,才进行对文件句柄所对应的文件的后缀名及路径的判断,这样可减少不必要的判断操作,提高判断效率,节省***资源。
图3为本发明提供的勒索者病毒防御方法实施例三的流程示意图,如图3所示,与图2所示方法实施例不同之处在于,本实施例中,若当前创建的文件句柄的属性中具有写权限,所述方法还可包括:
步骤106、复制当前创建的文件句柄。
本实施例中,在确定当前创建的文件句柄的属性中具有写权限之后,通过复制当前创建的文件句柄,这样就能获得和勒索者病毒具有相同的文件操作权限,即能够获得对对应文件的写权限。
步骤107、对所述当前创建的文件句柄所对应的文件进行加密备份。
根据获得的写权限,对所述当前创建的文件句柄所对应的文件立即进行加密备份。
本实施例中,在确定当前创建的文件句柄的属性中具有写权限之后,可初步确定存在可疑的勒索者病毒,为了避免不必要的损失,能够及时地对相应的文件进行加密备份,起到提前主动防御的作用。
图4为本发明提供的勒索者病毒防御方法实施例四的流程示意图,如图4所示,与图3所示方法实施例的不同之处在于,本实施例中,在确定当前创建的文件句柄所属进程为勒索者病毒的进程之后,所述方法还可包括:
步骤108、利用加密备份的文件,对勒索者病毒所加密的文件进行恢复。
当发现当前创建的文件句柄所属进程为勒索者病毒的进程之后,可将该进程加密的所有文件全部进行恢复。在进行恢复时,可将所述加密备份的文件进行解密后,替换勒索者病毒所加密的文件。可对勒索者病毒所加密的文件进行自动恢复,也可提示用户进行手动恢复。
本实施例中,在勒索者病毒对文件进行恶意加密之后,可利用所述加密备份的文件,对勒索者病毒所加密的文件进行恢复,进一步提高勒索者病毒防御能力。
更重要的是,本实施例中,当发现有新的文件句柄产生,并且该文件句柄的属性中的读/写属性信息为写属性时,会对该文件句柄进行复制,并对相应的文件进行加密备份,这样,采用所述加密备份的文件对勒索者病毒所加密的文件进行恢复时,能够将勒索病毒所加密文件,恢复到勒索者病毒加密前的状态,由此能够实现被加密文件的准确恢复。
第二方面,本发明实施例提供一种勒索者病毒防御装置,能够及时有效地识别勒索者病毒,并能对加密文件进行准确恢复。
图5为本发明提供的勒索者病毒防御装置实施例一的结构示意图,如图5所示,本实施例的防御装置,可包括:监控模块11、第一判断模块12、查询模块13、第二判断模块14以及第三判断模块15;其中,监控模块11,用于对文件句柄的创建进行监控;第一判断模块12,用于若当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限;查询模块13,用于若当前创建的文件句柄的属性中具有写权限,则查询当前创建的文件句柄所属进程;第二判断模块14,用于判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征;第三判断模块15,若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程。
本实施例的装置,可以用于执行图1所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图6为本发明提供的勒索者病毒防御装置实施例二的结构示意图,如图6所示,与图5所示装置实施例的不同之处在于,本实施例中,所述第二判断模14块,包括:第一判断子模块141、第二判断子模块142及第三判断子模块143;其中,
第一判断子模块141,用于判断当前创建的文件句柄所属进程,所占用的文件句柄的数量是否达到预定的数量阈值;和/或,
第二判断子模块142,用于判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的后缀名是否相同;和/或,
第三判断子模块143,用于判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的路径是否存在不同的路径。
其中,所述第三判断模块15,用于若当前创建的文件句柄所属进程,所占用的文件句柄的数量达到预定的数量阈值,和/或,所占用的各文件句柄所对应的文件的后缀名相同,和/或,所占用的各文件句柄所对应的文件的路径存在不同的路径,则确定当前创建的文件句柄所属进程的特征,符合预定的判定特征。
本实施例的装置,可以用于执行图2所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图7为本发明提供的勒索者病毒防御装置实施例三的结构示意图,如图7所示,与图6所示装置实施例的不同之处在于,本实施例中,所述装置还包括:复制模块16及备份模块17;其中,复制模块16,用于复制当前创建的文件句柄;备份模块17,用于对所述当前创建的文件句柄所对应的文件进行加密备份。
本实施例的装置,可以用于执行图3所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
图8为本发明提供的勒索者病毒防御装置实施例四的结构示意图,如图8所示,与图7所示装置实施例的不同之处在于,本实施例中,所述装置还包括:恢复模块18,用于利用加密备份的文件,对勒索者病毒所加密的文件进行恢复。
本实施例的装置,可以用于执行图4所示方法实施例的技术方案,其实现原理和技术效果类似,此处不再赘述。
第三方面,本发明实施例还提供一种电子设备。图9为本发明实施例提供的电子设备实施例的结构示意图,可以实现本发明图1至图4所示实施例的流程,如图9所示,上述电子设备可以包括:壳体41、处理器42、存储器43、电路板44和电源电路45,其中,电路板44安置在壳体41围成的空间内部,处理器42和存储器43设置在电路板44上;电源电路45,用于为上述电子设备的各个电路或器件供电;存储器43用于存储可执行程序代码;处理器42通过读取存储器43中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一实施例所述的勒索者病毒防御方法。
处理器42对上述步骤的具体执行过程以及处理器42通过运行可执行程序代码来进一步执行的步骤,可以参见本发明图1-图4所示实施例的描述,在此不再赘述。
该电子设备以多种形式存在,包括但不限于有计算和处理功能的桌面计算机,服务器或其他具有计算和处理功能的电子设备。
第四方面,本发明的实施例还提供一种计算机可读存储介质,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,用于执行前述任一实施例所述的勒索者病毒防御方法。
本发明实施例提供的勒索者病毒防御方法、装置、电子设备及存储介质,若监控到当前有文件句柄创建,并判断当前创建的文件句柄的属性中的读写属性信息为写属性,则可初步判断当前创建的文件句柄所属进程为可疑的勒索者病毒的进程,据此,可进一步判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征,若符合,则可确定当前创建的文件句柄所属进程为勒索者病毒的进程。也就是说,根据当前创建的文件句柄的属性,以及当前创建的文件句柄所属进程的特征,即可确定当前创建的文件句柄所属进程是否为勒索者病毒的进程,由此能够及时有效地识别勒索者病毒。
其中,在确定当前创建的文件句柄的属性中具有写权限之后,能够及时地对相应的文件进行加密备份,起到提前主动防御的作用。
在对勒索者病毒进行具体判定时,可对当前进程所占用的文件句柄的数量、后缀名和路径三者均进行判断,以减少或避免误报的情况发生,提高对勒索者病毒判断的准确率。
进一步地,在勒索者病毒对文件进行恶意加密之后,可利用所述加密备份的文件,对勒索者病毒所加密的文件进行恢复,进一步提高勒索者病毒防御能力。
更重要的是,当发现有新的文件句柄产生,并且该文件句柄的属性中的读/写属性信息为写属性时,即对该文件句柄进行复制,并对相应的文件进行加密备份,这样,采用所述加密备份的文件对勒索者病毒所加密的文件进行恢复时,能够将勒索病毒所加密文件,恢复到勒索者病毒加密前的状态,由此能够实现被加密文件的准确恢复。
本发明实施例,可以应用到任何Windows***下,不需要安装特定的第三方应用程序,可采用静默的方式处理各个应用程序,只有发现勒索者病毒时,才主动报警,并主动恢复被加密的文件。
需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括所述要素的过程、方法、物品或者设备中还存在另外的相同要素。
本说明书中的各个实施例均采用相关的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。
尤其,对于装置实施例而言,由于其基本相似于方法实施例,所以描述的比较简单,相关之处参见方法实施例的部分说明即可。
为了描述的方便,描述以上装置是以功能分为各种单元/模块分别描述。当然,在实施本发明时可以把各单元/模块的功能在同一个或多个软件和/或硬件中实现。
本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程,是可以通过计算机程序来指令相关的硬件来完成,所述的程序可存储于一计算机可读取存储介质中,该程序在执行时,可包括如上述各方法的实施例的流程。其中,所述的存储介质可为磁碟、光盘、只读存储记忆体(Read-Only Memory,ROM)或随机存储记忆体(Random AccessMemory,RAM)等。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以权利要求的保护范围为准。

Claims (10)

1.一种勒索者病毒防御方法,其特征在于,包括:
对文件句柄的创建进行监控;
若当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限;
若当前创建的文件句柄的属性中具有写权限,则查询当前创建的文件句柄所属进程;
判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征;
若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程。
2.根据权利要求1所述的勒索者病毒防御方法,其特征在于,所述判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征,包括:
判断当前创建的文件句柄所属进程,所占用的文件句柄的数量是否达到预定的数量阈值;和/或,
判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的后缀名是否相同;和/或,
判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的路径是否存在不同的路径;
其中,若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程,包括:若当前创建的文件句柄所属进程,所占用的文件句柄的数量达到预定的数量阈值,和/或,所占用的各文件句柄所对应的文件的后缀名相同,和/或,所占用的各文件句柄所对应的文件的路径存在不同的路径,则确定当前创建的文件句柄所属进程的特征,符合预定的判定特征。
3.根据权利要求1或2所述的勒索者病毒防御方法,其特征在于,若当前创建的文件句柄的属性中具有写权限,所述方法还包括:
复制当前创建的文件句柄;
对所述当前创建的文件句柄所对应的文件进行加密备份。
4.根据权利要求3所述的勒索者病毒防御方法,其特征在于,在确定当前创建的文件句柄所属进程为勒索者病毒的进程之后,所述方法还包括:
利用加密备份的文件,对勒索者病毒所加密的文件进行恢复。
5.一种勒索者病毒防御装置,其特征在于,包括:
监控模块,用于对文件句柄的创建进行监控;
第一判断模块,用于若当前有文件句柄创建,则查询当前创建的文件句柄的属性,判断当前创建的文件句柄的属性中是否具有写权限;
查询模块,用于若当前创建的文件句柄的属性中具有写权限,则查询当前创建的文件句柄所属进程;
第二判断模块,用于判断当前创建的文件句柄所属进程的特征,是否符合预定的判定特征;
第三判断模块,用于若当前创建的文件句柄所属进程的特征,符合预定的判定特征,则确定当前创建的文件句柄所属进程为勒索者病毒的进程。
6.根据权利要求5所述的勒索者病毒防御装置,其特征在于,所述第二判断模块,包括:
第一判断子模块,用于判断当前创建的文件句柄所属进程,所占用的文件句柄的数量是否达到预定的数量阈值;和/或,
第二判断子模块,用于判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的后缀名是否相同;和/或,
第三判断子模块,用于判断当前创建的文件句柄所属进程,所占用的各文件句柄所对应的文件的路径是否存在不同的路径;
其中,所述第三判断模块,用于若当前创建的文件句柄所属进程,所占用的文件句柄的数量达到预定的数量阈值,和/或,所占用的各文件句柄所对应的文件的后缀名相同,和/或,所占用的各文件句柄所对应的文件的路径存在不同的路径,则确定当前创建的文件句柄所属进程的特征,符合预定的判定特征。
7.根据权利要求5或6所述的勒索者病毒防御装置,其特征在于,所述装置还包括:
复制模块,用于复制当前创建的文件句柄;
备份模块,用于对所述当前创建的文件句柄所对应的文件进行加密备份。
8.根据权利要求7所述的勒索者病毒防御装置,其特征在于,所述装置还包括:
恢复模块,用于利用加密备份的文件,对勒索者病毒所加密的文件进行恢复。
9.一种电子设备,其特征在于,所述电子设备包括:壳体、处理器、存储器、电路板和电源电路,其中,电路板安置在壳体围成的空间内部,处理器和存储器设置在电路板上;电源电路,用于为上述电子设备的各个电路或器件供电;存储器用于存储可执行程序代码;处理器通过读取存储器中存储的可执行程序代码来运行与可执行程序代码对应的程序,用于执行前述任一权利要求所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有一个或者多个程序,所述一个或者多个程序可被一个或者多个处理器执行,以实现前述任一权利要求所述的方法。
CN201811579545.7A 2018-12-21 2018-12-21 勒索者病毒防御方法、装置、电子设备及存储介质 Pending CN110874474A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201811579545.7A CN110874474A (zh) 2018-12-21 2018-12-21 勒索者病毒防御方法、装置、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201811579545.7A CN110874474A (zh) 2018-12-21 2018-12-21 勒索者病毒防御方法、装置、电子设备及存储介质

Publications (1)

Publication Number Publication Date
CN110874474A true CN110874474A (zh) 2020-03-10

Family

ID=69716309

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201811579545.7A Pending CN110874474A (zh) 2018-12-21 2018-12-21 勒索者病毒防御方法、装置、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN110874474A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111552962A (zh) * 2020-03-25 2020-08-18 沈阳通用软件有限公司 一种基于Windows操作***的U盘PE格式文件病毒的拦截方法
CN111625828A (zh) * 2020-07-29 2020-09-04 杭州海康威视数字技术股份有限公司 勒索病毒防御方法、装置及电子设备

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106611121A (zh) * 2016-11-01 2017-05-03 哈尔滨安天科技股份有限公司 基于文件格式监控发现勒索者病毒的方法及***
CN107480527A (zh) * 2017-08-03 2017-12-15 深圳市联软科技股份有限公司 勒索软件的防范方法及***
CN107729752A (zh) * 2017-09-13 2018-02-23 中国科学院信息工程研究所 一种勒索软件防御方法及***
CN108363923A (zh) * 2017-10-19 2018-08-03 北京安天网络安全技术有限公司 一种勒索者病毒防御方法、***及设备
CN108959951A (zh) * 2017-05-19 2018-12-07 北京瑞星网安技术股份有限公司 文档安全防护的方法、装置、设备及可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106611121A (zh) * 2016-11-01 2017-05-03 哈尔滨安天科技股份有限公司 基于文件格式监控发现勒索者病毒的方法及***
CN108959951A (zh) * 2017-05-19 2018-12-07 北京瑞星网安技术股份有限公司 文档安全防护的方法、装置、设备及可读存储介质
CN107480527A (zh) * 2017-08-03 2017-12-15 深圳市联软科技股份有限公司 勒索软件的防范方法及***
CN107729752A (zh) * 2017-09-13 2018-02-23 中国科学院信息工程研究所 一种勒索软件防御方法及***
CN108363923A (zh) * 2017-10-19 2018-08-03 北京安天网络安全技术有限公司 一种勒索者病毒防御方法、***及设备

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN111552962A (zh) * 2020-03-25 2020-08-18 沈阳通用软件有限公司 一种基于Windows操作***的U盘PE格式文件病毒的拦截方法
CN111552962B (zh) * 2020-03-25 2024-03-01 三六零数字安全科技集团有限公司 一种基于Windows操作***的U盘PE格式文件病毒的拦截方法
CN111625828A (zh) * 2020-07-29 2020-09-04 杭州海康威视数字技术股份有限公司 勒索病毒防御方法、装置及电子设备
CN111625828B (zh) * 2020-07-29 2021-02-26 杭州海康威视数字技术股份有限公司 勒索病毒防御方法、装置及电子设备

Similar Documents

Publication Publication Date Title
JP4807970B2 (ja) 自動開始拡張ポイントを介したスパイウェアおよび不要ソフトウェアの管理
US9781144B1 (en) Determining duplicate objects for malware analysis using environmental/context information
US11086983B2 (en) System and method for authenticating safe software
US10284587B1 (en) Systems and methods for responding to electronic security incidents
JP6703616B2 (ja) セキュリティ脅威を検出するためのシステム及び方法
US10462160B2 (en) Method and system for identifying uncorrelated suspicious events during an attack
CN111460445B (zh) 样本程序恶意程度自动识别方法及装置
US20140053267A1 (en) Method for identifying malicious executables
US10216934B2 (en) Inferential exploit attempt detection
RU2723665C1 (ru) Динамический индикатор репутации для оптимизации операций по обеспечению компьютерной безопасности
JP2010182019A (ja) 異常検知装置およびプログラム
KR101937325B1 (ko) 악성코드 감지 및 차단방법 및 그 장치
CN112769775B (zh) 一种威胁情报关联分析方法、***、设备及计算机介质
WO2021139308A1 (zh) 云服务器监控方法、装置、设备及存储介质
CN110874474A (zh) 勒索者病毒防御方法、装置、电子设备及存储介质
KR20160099159A (ko) 악성 코드를 탐지하기 위한 전자 시스템 및 방법
CN113449302A (zh) 一种检测恶意软件的方法
TWI640891B (zh) 偵測惡意程式的方法和裝置
WO2016095671A1 (zh) 一种应用程序的消息处理方法和装置
US20220309171A1 (en) Endpoint Security using an Action Prediction Model
CN116611058A (zh) 一种勒索病毒检测方法及相关***
WO2021144978A1 (ja) 攻撃推定装置、攻撃推定方法及び攻撃推定プログラム
US11763004B1 (en) System and method for bootkit detection
JP6602471B2 (ja) 自動化されたアプリケーション分析のための技法
US20230036599A1 (en) System context database management

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
RJ01 Rejection of invention patent application after publication
RJ01 Rejection of invention patent application after publication

Application publication date: 20200310