本發(fā)明涉及信息安全技術(shù)領(lǐng)域，尤其涉及基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的方法及系統(tǒng)。

背景技術(shù)：

勒索者病毒是近兩年來爆發(fā)的一種惡意病毒，它會(huì)加密電腦磁盤里的文檔、圖片等關(guān)鍵數(shù)據(jù)，并會(huì)告知用戶在一定時(shí)間內(nèi)交付贖金，由于贖金是用比特幣的形式，所以很難追溯到病毒制作者，同時(shí)勒索者才用了強(qiáng)加密算法，很難在不知私鑰的情況下進(jìn)行文檔的解密。目前主流殺毒軟件都有文件防護(hù)功能，可以保證文件不被惡意篡改，但是這種做法同時(shí)也阻止了正常的軟件對(duì)文件的訪問，即使通過白名單機(jī)制可以保證一些軟件的正常訪問，但是不能保證沒有惡意行為的程序?qū)υ撐臋n進(jìn)行訪問，即使有了白名單技術(shù)，也不能保證文檔一定不被改寫，所以現(xiàn)有的文檔保護(hù)機(jī)制對(duì)目前的勒索者并不適用，因?yàn)槟壳昂芏嗬账髡卟《臼峭ㄟ^注入白名單進(jìn)程來釋放攻擊的，如explorer或svchost進(jìn)程。

技術(shù)實(shí)現(xiàn)要素：

針對(duì)上述現(xiàn)有技術(shù)存在的缺陷，本發(fā)明提出基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的方法及系統(tǒng)，監(jiān)控系統(tǒng)中的進(jìn)程；發(fā)現(xiàn)存在對(duì)系統(tǒng)中現(xiàn)有文件進(jìn)行修改的進(jìn)程時(shí)，掛起相應(yīng)進(jìn)程；加密備份相應(yīng)進(jìn)程將要修改的文件，并取消加密備份文件的后綴；放行被掛起的進(jìn)程，并監(jiān)控相應(yīng)進(jìn)程及文件的狀態(tài)；當(dāng)相應(yīng)進(jìn)程完成修改操作，并釋放句柄時(shí)，攔截并獲取釋放的句柄信息，判斷相應(yīng)進(jìn)程是否對(duì)文件進(jìn)行了修改格式的操作，若是則將相應(yīng)進(jìn)程寫入黑名單，否則放行相應(yīng)進(jìn)程。

具體發(fā)明內(nèi)容包括：

基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的方法，包括：

監(jiān)控系統(tǒng)中的進(jìn)程；

發(fā)現(xiàn)存在對(duì)系統(tǒng)中現(xiàn)有文件進(jìn)行修改的進(jìn)程時(shí)，掛起相應(yīng)進(jìn)程；

加密備份相應(yīng)進(jìn)程將要修改的文件，并取消加密備份文件的后綴；取消后綴的文件是不能被訪問或者加密的，所以可以通過取消后綴的方式來保護(hù)加密備份文件的安全性和完整性；

放行被掛起的進(jìn)程，并監(jiān)控相應(yīng)進(jìn)程及文件的狀態(tài)；

當(dāng)相應(yīng)進(jìn)程完成修改操作，并釋放句柄時(shí)，攔截并獲取釋放的句柄信息，判斷相應(yīng)進(jìn)程是否對(duì)文件進(jìn)行了修改格式的操作，若是則將相應(yīng)進(jìn)程寫入黑名單，否則放行相應(yīng)進(jìn)程。

進(jìn)一步地，還包括：若所述相應(yīng)進(jìn)程對(duì)文件進(jìn)行了修改格式的操作，則判斷修改文件格式的操作是否經(jīng)過用戶授權(quán)，若是則放行，否則將相應(yīng)進(jìn)程寫入黑名單。

進(jìn)一步地，還包括：刪除被寫入黑名單中的進(jìn)程修改的文件，并在加密備份的文件中確定其對(duì)應(yīng)的加密備份文件，并對(duì)相應(yīng)文件進(jìn)行恢復(fù)。

基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的系統(tǒng)，包括：

進(jìn)程監(jiān)控模塊，用于監(jiān)控系統(tǒng)中的進(jìn)程，發(fā)現(xiàn)存在對(duì)系統(tǒng)中現(xiàn)有文件進(jìn)行修改的進(jìn)程時(shí)，掛起相應(yīng)進(jìn)程；

加密備份模塊，用于加密備份相應(yīng)進(jìn)程將要修改的文件，并取消加密備份文件的后綴；

勒索判定模塊，用于放行被掛起的進(jìn)程，并監(jiān)控相應(yīng)進(jìn)程及文件的狀態(tài)，當(dāng)相應(yīng)進(jìn)程完成修改操作，并釋放句柄時(shí)，攔截并獲取釋放的句柄信息，判斷相應(yīng)進(jìn)程是否對(duì)文件進(jìn)行了修改格式的操作，若是則將相應(yīng)進(jìn)程寫入黑名單，否則放行相應(yīng)進(jìn)程。

進(jìn)一步地，所述勒索判定模塊還用于：若所述相應(yīng)進(jìn)程對(duì)文件進(jìn)行了修改格式的操作，則判斷修改文件格式的操作是否經(jīng)過用戶授權(quán)，若是則放行，否則將相應(yīng)進(jìn)程寫入黑名單。

進(jìn)一步地，還包括文件恢復(fù)模塊，具體用于：刪除被寫入黑名單中的進(jìn)程修改的文件，并在加密備份的文件中確定其對(duì)應(yīng)的加密備份文件，并對(duì)相應(yīng)文件進(jìn)行恢復(fù)。

本發(fā)明的有益效果是：

本發(fā)明通過監(jiān)控系統(tǒng)進(jìn)程，同時(shí)對(duì)系統(tǒng)中的文件修改及文件格式變化進(jìn)行監(jiān)控，能有效感知勒索者病毒的攻擊行為，并發(fā)現(xiàn)勒索者病毒釋放的進(jìn)程；本發(fā)明在文件被修改之前對(duì)文件進(jìn)行加密備份，能有效確保系統(tǒng)文件數(shù)據(jù)的完整性，并便于后續(xù)文件的恢復(fù)；本發(fā)明取消加密備份文件的后綴，能夠有效保護(hù)加密備份文件的安全性和完整性。

附圖說明

為了更清楚地說明本發(fā)明或現(xiàn)有技術(shù)中的技術(shù)方案，下面將對(duì)實(shí)施例或現(xiàn)有技術(shù)描述中所需要使用的附圖作簡(jiǎn)單地介紹，顯而易見地，下面描述中的附圖僅僅是本發(fā)明中記載的一些實(shí)施例，對(duì)于本領(lǐng)域普通技術(shù)人員來講，在不付出創(chuàng)造性勞動(dòng)的前提下，還可以根據(jù)這些附圖獲得其他的附圖。

圖1為本發(fā)明基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的方法流程圖；

圖2為本發(fā)明基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的系統(tǒng)結(jié)構(gòu)圖。

具體實(shí)施方式

為了使本技術(shù)領(lǐng)域的人員更好地理解本發(fā)明實(shí)施例中的技術(shù)方案，并使本發(fā)明的上述目的、特征和優(yōu)點(diǎn)能夠更加明顯易懂，下面結(jié)合附圖對(duì)本發(fā)明中技術(shù)方案作進(jìn)一步詳細(xì)的說明。

本發(fā)明給出了基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的方法實(shí)施例，如圖1所示，包括：

S101：監(jiān)控系統(tǒng)中的進(jìn)程；

S102：發(fā)現(xiàn)存在對(duì)系統(tǒng)中現(xiàn)有文件進(jìn)行修改的進(jìn)程時(shí)，掛起相應(yīng)進(jìn)程；

S103：加密備份相應(yīng)進(jìn)程將要修改的文件，并取消加密備份文件的后綴；取消后綴的文件是不能被訪問或者加密的，所以可以通過取消后綴的方式來保護(hù)加密備份文件的安全性和完整性；

S104：放行被掛起的進(jìn)程，并監(jiān)控相應(yīng)進(jìn)程及文件的狀態(tài)；

S105：當(dāng)相應(yīng)進(jìn)程完成修改操作，并釋放句柄時(shí)，攔截并獲取釋放的句柄信息；

S106：判斷相應(yīng)進(jìn)程是否對(duì)文件進(jìn)行了修改格式的操作，若是則進(jìn)入S107，否則放行相應(yīng)進(jìn)程；

S107：將相應(yīng)進(jìn)程寫入黑名單。

優(yōu)選地，還包括：若所述相應(yīng)進(jìn)程對(duì)文件進(jìn)行了修改格式的操作，則判斷修改文件格式的操作是否經(jīng)過用戶授權(quán)，若是則放行，否則將相應(yīng)進(jìn)程寫入黑名單。

優(yōu)選地，還包括：刪除被寫入黑名單中的進(jìn)程修改的文件，并在加密備份的文件中確定其對(duì)應(yīng)的加密備份文件，并對(duì)相應(yīng)文件進(jìn)行恢復(fù)。

本發(fā)明還給出了基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的系統(tǒng)實(shí)施例，如圖2所示，包括：

進(jìn)程監(jiān)控模塊201，用于監(jiān)控系統(tǒng)中的進(jìn)程，發(fā)現(xiàn)存在對(duì)系統(tǒng)中現(xiàn)有文件進(jìn)行修改的進(jìn)程時(shí)，掛起相應(yīng)進(jìn)程；

加密備份模塊202，用于加密備份相應(yīng)進(jìn)程將要修改的文件，并取消加密備份文件的后綴；

勒索判定模塊203，用于放行被掛起的進(jìn)程，并監(jiān)控相應(yīng)進(jìn)程及文件的狀態(tài)，當(dāng)相應(yīng)進(jìn)程完成修改操作，并釋放句柄時(shí)，攔截并獲取釋放的句柄信息，判斷相應(yīng)進(jìn)程是否對(duì)文件進(jìn)行了修改格式的操作，若是則將相應(yīng)進(jìn)程寫入黑名單，否則放行相應(yīng)進(jìn)程。

優(yōu)選地，所述勒索判定模塊203還用于：若所述相應(yīng)進(jìn)程對(duì)文件進(jìn)行了修改格式的操作，則判斷修改文件格式的操作是否經(jīng)過用戶授權(quán)，若是則放行，否則將相應(yīng)進(jìn)程寫入黑名單。

優(yōu)選地，還包括文件恢復(fù)模塊，具體用于：刪除被寫入黑名單中的進(jìn)程修改的文件，并在加密備份的文件中確定其對(duì)應(yīng)的加密備份文件，并對(duì)相應(yīng)文件進(jìn)行恢復(fù)。

本說明書中方法的實(shí)施例采用遞進(jìn)的方式描述，對(duì)于系統(tǒng)的實(shí)施例而言，由于其基本相似于方法實(shí)施例，所以描述的比較簡(jiǎn)單，相關(guān)之處參見方法實(shí)施例的部分說明即可。本發(fā)明提出基于文件格式監(jiān)控發(fā)現(xiàn)勒索者病毒的方法及系統(tǒng)，監(jiān)控系統(tǒng)中的進(jìn)程；發(fā)現(xiàn)存在對(duì)系統(tǒng)中現(xiàn)有文件進(jìn)行修改的進(jìn)程時(shí)，掛起相應(yīng)進(jìn)程；加密備份相應(yīng)進(jìn)程將要修改的文件，并取消加密備份文件的后綴；放行被掛起的進(jìn)程，并監(jiān)控相應(yīng)進(jìn)程及文件的狀態(tài)；當(dāng)相應(yīng)進(jìn)程完成修改操作，并釋放句柄時(shí)，攔截并獲取釋放的句柄信息，判斷相應(yīng)進(jìn)程是否對(duì)文件進(jìn)行了修改格式的操作，若是則將相應(yīng)進(jìn)程寫入黑名單，否則放行相應(yīng)進(jìn)程。本發(fā)明通過監(jiān)控系統(tǒng)進(jìn)程，同時(shí)對(duì)系統(tǒng)中的文件修改及文件格式變化進(jìn)行監(jiān)控，能有效感知勒索者病毒的攻擊行為，并發(fā)現(xiàn)勒索者病毒釋放的進(jìn)程；本發(fā)明在文件被修改之前對(duì)文件進(jìn)行加密備份，能有效確保系統(tǒng)文件數(shù)據(jù)的完整性，并便于后續(xù)文件的恢復(fù)；本發(fā)明取消加密備份文件的后綴，能夠有效保護(hù)加密備份文件的安全性和完整性。

雖然通過實(shí)施例描繪了本發(fā)明，本領(lǐng)域普通技術(shù)人員知道，本發(fā)明有許多變形和變化而不脫離本發(fā)明的精神，希望所附的權(quán)利要求包括這些變形和變化而不脫離本發(fā)明的精神。