一种勒索者病毒的检测方法及系统技术方案

本发明专利技术公开了一种勒索者病毒的检测方法及系统，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。本发明专利技术所述技术方案不仅能够有效识别勒索者病毒，降低误报率而且不影响正常软件针对文件的操作。

【技术实现步骤摘要】
一种勒索者病毒的检测方法及系统
本专利技术涉及信息安全
，尤其涉及一种勒索者病毒的检测方法及系统。
技术介绍
勒索软件是近两年比较流行的病毒，尤其是在2016年我国勒索软件成爆发式增长。勒索软件一旦感染系统，它会加密电脑磁盘的文档文件、图片文件、文本文件等，加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据，只有恶意代码作者能对其解密。在某种程度上就算用户支付赎金给恶意代码作者，也可能无法解密数据，这对于拥有重要资源的企业和部门是一个灾难性的事件，比如：医疗部门、银行、政府部门一旦遭受勒索软件攻击，就会使各业务系统瘫痪，损失不可估计。目前主流杀毒软件都有文件防护功能，可以保证文件不被恶意篡改，但是这种做法可能同时影响正常软件对于文件的操作，即使通过白名单机制可以保证放行一部分软件的正常访问，但是不能保证所有安全程序对文件的操作。同时，白名单技术也不能保证文件不被恶意程序篡改，因此对于勒索者并不适用，因为目前很多勒索者病毒是通过注入白名单进程来释放攻击的，如explorer或svchost进程。
技术实现思路
针对上述技术问题，本专利技术所述的技术方案通过感知文件的变化范围来判定是否存在疑似勒索者病毒，进而提升对勒索者病毒的检出率，并同时降低误报。本专利技术采用如下方法来实现，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。进一步地，在判定为疑似勒索者病毒之后，还包括：将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。更进一步地，在判定为疑似勒索者病毒之后，还包括：若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。上述方法中，在判定为疑似勒索者病毒之后，还包括：删除被加密的文件并将备份的文件恢复到原来位置。本专利技术可以采用如下系统来实现，包括：文档备份模块，用于若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；加密判定模块，用于对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；勒索判定模块，用于若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。进一步地，还包括：恶意特征记录模块，用于将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。更进一步地，还包括：恶意域名记录模块，用于若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。上述系统中，还包括：文档恢复模块，用于删除被加密的文件并将备份的文件恢复到原来位置。综上，本专利技术给出一种勒索者病毒的检测方法及系统，本专利技术若发现存在修改文件的进程，则首先判断是否是针对文件的加密操作；若是则继续判断该进程所加密的文件中，具备相同扩展名的文件占所有文件的比例是否超过预设值，若是则继续判断这些具备相同扩展名的文件的文件名是否长度一致，并同时存在部分相同字符串，若是则判定为疑似勒索者病毒。有益效果为：本专利技术所述技术方案通过监控文件是否被批量加密，被加密后的文件的扩展名和文件名的形态是否满足判定条件，进而准确判定是否是勒索者病毒。附图说明为了更清楚地说明本专利技术的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术中记载的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为本专利技术提供的一种勒索者病毒的检测方法实施例流程图；图2为加密前的文件的字符情况；图3为加密后的文件的字符情况；图4为本专利技术提供的一种勒索者病毒的检测系统实施例结构图。具体实施方式本专利技术给出了一种勒索者病毒的检测方法及系统实施例，为了使本
的人员更好地理解本专利技术实施例中的技术方案，并使本专利技术的上述目的、特征和优点能够更加明显易懂，下面结合附图对本专利技术中技术方案作进一步详细的说明：本专利技术首先提供了一种勒索者病毒的检测方法实施例，如图1所示，包括：S101：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程。目的是为后续文件的恢复操作做准备，进而降低用户损失。S102：对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；其中，经过观察加密数据中常见字符在加密前后的规律变化，发现熵值在加密前后将发生很大的变化，例如：未加密的文件中存在较多为0的字符串，如图2所示；但是加密之后的文件中则基本不存在为0的字符串，如图3所示；由此可知，通过将修改后的文件的熵值与备份的修改前的文件的熵值进行对比，若差距较大，则判定当前进程对文件进行了加密操作。更优选地，由于压缩文件或者电影文件的字符密度很高，可能会出现高熵值的情况，并且如果文件整体参与计算将拖慢检测速度，建议选择文件的头部预设数量的字节进行熵值的计算和对比，进而在保证准确率的前提下，进一步提升检测效率。S103：若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续执行S104，否则停止监控；其中，勒索者病毒通常会批量修改文件，将其修改为系统无法识别的扩展名，因此，若被加密的文件中存在一定比例的相同的扩展名，则一定程度上说明这些文件是被勒索者恶意操作过的。S104：判断具备相同扩展名的文件的文件名是否长度一致，若是则继续执行S105，否则停止监控；S105：判定文件名中是否存在部分相同字符串，若是则判定为疑似勒索者病毒并继续执行S106，否则停止监控；勒索者病毒在感染用户文件后，会批量修改文件名并且修改后缀名，而正常软件并不会出现该情况。因此通过监控文件的文件名和扩展名的形态变化来判定是否是勒索者所为。其中，之所以判断具备相同扩展名的文件数量与当前文件夹内文件的数量的比值是否超过预设值，是因为勒索者通常会在文件夹内添加其他扩展名的文件，例如：html文件或者txt文件。勒索者病毒作者会在文件夹内放置html、txt或者其他非加密形式的文件的目的是通知用户文档被加密，需要支付赎金来恢复文件，仅此文件夹通常会存在与其他文件扩展名不同的能够被打开的文件。S106：将相同扩展本文档来自技高网...

【技术保护点】
一种勒索者病毒的检测方法，其特征在于，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。

【技术特征摘要】
1.一种勒索者病毒的检测方法，其特征在于，包括：若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。2.如权利要求1所述的方法，其特征在于，在判定为疑似勒索者病毒之后，还包括：将相同扩展名、文件名中的相同字符串部分存入特征库。3.如权利要求2所述的方法，其特征在于，在判定为疑似勒索者病毒之后，还包括：若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。4.如权利要求3所述的方法，其特征在于，在判定为疑似勒索者病毒之后，还包括：删除被加密的文件并将备份的文件恢复到原来位置。5.一种勒索者病毒的...

【专利技术属性】
技术研发人员：张慧云，
申请(专利权)人：哈尔滨安天科技股份有限公司，
类型：发明
国别省市：黑龙江,23