The invention discloses a method and a system for detecting, a blackmailer viruses including: if there is to modify the file process, then hang up process and the backup file to read backup area, after the completion of the process of release; comparing the modified file backup and file entropy, determine whether the current process of the document encryption operation if there is a cryptographic operation; the judgment of the process within a preset time according to whether the number of operations file exceeds the preset threshold value, if it is judged as suspected of extortion virus. The technical proposal of the invention not only can effectively identify the virus of the user, but also can reduce the false alarm rate and does not affect the normal operation of the software.
【技术实现步骤摘要】
本专利技术涉及信息安全
,尤其涉及一种勒索者病毒的检测方法及系统。
技术介绍
勒索软件是近两年比较流行的病毒,尤其是在2016年我国勒索软件成爆发式增长。勒索软件一旦感染系统会加密电脑磁盘的文档文件、图片文件、文本文件等,加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据,只有恶意代码作者能对其解密。在某种程度上就算用户支付赎金给恶意代码作者,也可能无法解密数据,这对于拥有重要资源的企业和部门是一个灾难性的事件,比如:医疗部门、银行、政府部门一旦遭受勒索软件攻击,就会使各业务系统瘫痪,损失不可估计。目前主流杀毒软件都有文件防护功能,可以保证文件不被恶意篡改,但是这种做法可能同时影响正常软件对于文件的操作,即使通过白名单机制可以保证放行一部分软件的正常访问,但是不能保证所有安全程序对文件的操作。同时,白名单技术也不能保证文件不被恶意程序篡改,因此对于勒索者并不适用,因为目前很多勒索者病毒是通过注入白名单进程来释放攻击的,如explorer或svchost进程。
技术实现思路
针对上述技术问题,本专利技术所述的技术方案通过感知文件的变化范围和频率来判定是否存在疑似勒索者病毒,进而提升对勒索者病毒的检出率,并同时降低误报。本专利技术采用如下方法来实现,包括:若存在修改文件的进程,则挂起进程并备份文件至可读区域,备份完成后放行该进程;对比修改后的文件与备份的文件的熵值,判定当前进程是否对文件进行了加密操作;若存在加密操作则判断该进程在预设时间内针 ...
【技术保护点】
一种勒索者病毒的检测方法,其特征在于,包括:若存在修改文件的进程,则挂起进程并备份文件至可读区域,备份完成后放行该进程;对比修改后的文件与备份的文件的熵值,判定当前进程是否对文件进行了加密操作;若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值,若是则判定为疑似勒索者病毒。
【技术特征摘要】
1.一种勒索者病毒的检测方法,其特征在于,包括:若存在修改文件的进程,则挂起进程并备份文件至可读区域,备份完成后放行该进程;对比修改后的文件与备份的文件的熵值,判定当前进程是否对文件进行了加密操作;若存在加密操作则判断该进程在预设时间内针对文件的操作次数是否超过设定阈值,若是则判定为疑似勒索者病毒。2.如权利要求1所述的方法,其特征在于,在判定为疑似勒索者病毒之前,还包括:收集被加密的所有文件,并判断具备相同扩展名的文件所占比例是否超过预设值,若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串,若是则判定为疑似勒索者病毒;将相同扩展名、文件名中的相同字符串部分存入特征库,用于后续分析。3.如权利要求2所述的方法,其特征在于,在判定为疑似勒索者病毒之后,还包括:若被加密的文件所在文件夹内存在html文件或者txt文件,则进一步判断所述html文件或者txt文件内是否存在URL链接,若存在则提取所述URL链接并存入特征库;若被加密的文件所在文件夹内不存在html文件或者txt文件,则遍历非加密文件中是否存在URL链接,若存在则提取所述URL链接并存入特征库。4.如权利要求3所述的方法,其特征在于,在判定为疑似勒索者病毒之后,还包括:删除被加密的文件并将备份的文件恢复到原来位置。5.一种勒索者...
【专利技术属性】
技术研发人员:张慧云,
申请(专利权)人:哈尔滨安天科技股份有限公司,
类型:发明
国别省市:黑龙江;23
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。