勒索软件的防范方法及系统技术方案

本发明专利技术涉及勒索软件的防范方法及系统，方法包括：在系统中创建诱饵文件；实时监测所述诱饵文件；若监测到所述诱饵文件被同一进程检索和进行写操作，则将所述进程对应的程序标记为述疑似勒索软件；阻止被标记为疑似勒索软件的程序对所有文件的写操作。本发明专利技术提供的勒索软件的防范方法及系统，能够准确、快速地发现勒索病毒对磁盘文件的加密操作，并及时阻止。

The method and system of extortion software

The present invention relates to a method and system to prevent extortion software methods include: the creation of bait files in the system; real-time monitoring of the decoy files; if the monitoring to the bait files are the same process of retrieval and write operation, marking the program process corresponding to the suspected blackmail software; stop is marked for suspected blackmail writes to all the file of the software program. The guard method and system of the blackmail software provided by the invention can accurately and quickly detect the encrypting operation of the ransom virus on the disk files and prevent them in time.

【技术实现步骤摘要】
勒索软件的防范方法及系统
本专利技术涉及软件杀毒
，具体涉及一种勒索软件的防范方法及系统。
技术介绍
勒索病毒是一种新型电脑病毒，主要以邮件，程序木马，网页挂马的形式进行传播。勒索病毒一旦进入本地，就会自动运行，同时删除勒索软件样本，以躲避查杀和分析；接下来，勒索病毒会对电脑磁盘文件进行加密，除了病毒开发者本人，其他人是几乎不可能解密；加密完成后，向电脑使用者勒索高额解密费用，给用户带来巨额的经济损。例如，2017年6月，一款针对安卓手机的“文件加密型”勒索病毒，伪装成手游“王者荣耀”辅助工具等APP在国内网络传播，用户一旦中招，手机照片等将被加密。并且勒索病毒的变种类型非常快，对常规的杀毒软件都具有免疫性，攻击的样本以exe、js、wsf、vbe等类型为主，对常规依靠特征检测的安全产品是一个极大的挑战。传统的杀毒软件传统的杀毒软件，分析病毒特征(例如：监听入站的443端口)，来达到检查病毒并查杀的效果，只能做到勒索病毒提醒，不能做到防加密。
技术实现思路
针对现有技术中的缺陷，本专利技术提供的勒索软件的防范方法及系统，能够准确、快速地发现勒索病毒对磁盘文件的加密操作，并及时阻止。第一方面，本专利技术提供了一种勒索软件的防范方法，包括：在系统中创建诱饵文件；实时监测所述诱饵文件；若监测到所述诱饵文件被同一进程检索和进行写操作，则将所述进程对应的程序标记为述疑似勒索软件；阻止被标记为疑似勒索软件的程序对所有文件的写操作。传统的杀毒软件通过分析病毒特征(例如：监听入站的443端口)，来达到检查病毒并查杀的效果，只能做到勒索病毒提醒，不能做到防加密。本实施例提供的勒索软件的防范方法，通过自动在系统中创建诱饵文件，以诱饵文件作为诱饵，无需进行复杂的病毒特征分析，只需通过监测诱饵文件是否被检索和改写，即可在第一时间准确、快速地发现勒索病毒对磁盘文件的加密操作，并及时阻止，监测方法简单，适用于采用加密方式的任何勒索软件。优选地，所述在系统中创建诱饵文件，包括：在系统的每个盘符根目录及桌面文件下创建诱饵文件。优选地，所述诱饵文件的文件名采用特殊字符命名。优选地，若所述诱饵文件建立在诱饵文件夹下，所述诱饵文件夹的名称采用特殊字符命名。优选地，所述实时监测所述诱饵文件，包括：监测每个非系统进程的API调用。优选地，所述实时监测所述诱饵文件，包括：监测勒索软件必然会调用的API。优选地，还包括：在系统中运行的每个程序中注入HOOK插件；所述阻止被标记为疑似勒索软件的程序对所有文件的写操作，包括：利用注入的HOOK插件，截获被标记为疑似勒索软件的程序发出的写操作指令。优选地，还包括：在检测到疑似勒索软件后，弹出提示提醒用户。第二方面，本专利技术提供了一种勒索软件的防范系统，包括：诱饵文件创建模块，用于在系统中创建诱饵文件；监测模块，用于实时监测所述诱饵文件；勒索软件判定模块，用于若监测到所述诱饵文件被同一进程检索和进行写操作，则将所述进程对应的程序标记为述疑似勒索软件；勒索软件阻止模块，用于阻止被标记为疑似勒索软件的程序对所有文件的写操作。传统的杀毒软件通过分析病毒特征(例如：监听入站的443端口)，来达到检查病毒并查杀的效果，只能做到勒索病毒提醒，不能做到防加密。本实施例提供的勒索软件的防范系统，通过自动在系统中创建诱饵文件，以诱饵文件作为诱饵，无需进行复杂的病毒特征分析，只需通过监测诱饵文件是否被检索和改写，即可在第一时间准确、快速地发现勒索病毒对磁盘文件的加密操作，并及时阻止，监测方法简单，适用于采用加密方式的任何勒索软件。第三方面，本专利技术提供了一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该程序被处理器执行时实现第一方面中任一所述的方法。本实施例提供的计算机可读存储介质，将其内部的程序安装在需要保护的终端设备(如电脑、手机、平板电脑等)中，并运行所述程序，自动在系统中创建诱饵文件，以诱饵文件作为诱饵，无需进行复杂的病毒特征分析，只需通过监测诱饵文件是否被检索和改写，即可在第一时间准确、快速地发现勒索病毒对磁盘文件的加密操作，并及时阻止，监测方法简单，适用于采用加密方式的任何勒索软件。附图说明图1为本专利技术实施例所提供的勒索软件的防范方法的流程图；图2为本专利技术实施例所提供的勒索软件的防范系统的结构框图。具体实施方式下面将结合附图对本专利技术技术方案的实施例进行详细的描述。以下实施例仅用于更加清楚地说明本专利技术的技术方案，因此只是作为示例，而不能以此来限制本专利技术的保护范围。需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本专利技术所属领域技术人员所理解的通常意义。如图1所示，本实施例提供了本专利技术提供了一种勒索软件的防范方法，包括：步骤S1，在系统中创建诱饵文件。步骤S2，实时监测所述诱饵文件。步骤S3，若监测到所述诱饵文件被同一进程检索和进行写操作，则将所述进程对应的程序标记为述疑似勒索软件。步骤S4，阻止被标记为疑似勒索软件的程序对所有文件的写操作。将上述方法对应的软件程序安装到终端设备上，软件程序会自动在系统中创建诱饵文件，一般用户在使用终端设备过程中是不会检索并打开、处理这些诱饵文件的，只有勒索软件会调windows文件系统的接口(FindFirstFile/FindNext/FindClose)来遍历电脑磁盘的所有文件。因此，一旦监测到这些诱饵文件被同一进程检索和进行写操作，即可判定终端设备感染勒索病毒，并对阻止勒索软件对所有文件的写操作，从根源上阻止勒索软件的攻击。传统的杀毒软件通过分析病毒特征(例如：监听入站的443端口)，来达到检查病毒并查杀的效果，只能做到勒索病毒提醒，不能做到防加密。本实施例提供的勒索软件的防范方法，通过自动在系统中创建诱饵文件，以诱饵文件作为诱饵，无需进行复杂的病毒特征分析，只需通过监测诱饵文件是否被检索和改写，即可在第一时间准确、快速地发现勒索病毒对磁盘文件的加密操作，并及时阻止，监测方法简单，适用于采用加密方式的任何勒索软件。如果终端勒索软件爆发，勒索软件会调用文件系统的接口(FindFirstFile/FindNext/FindClose)来遍历电脑磁盘的所有文件(包含文件夹内的文件)，文件系统会按默认顺序检索文件或文件夹，例如优先检索系统根目录的文件。因此，为了保证诱饵文件被第一个检索到并返回给勒索软件，所述步骤S1的优选实施方式包括：在系统的每个盘符根目录及桌面文件下创建诱饵文件。其中，文件系统是操作系统用于明确存储设备(常见的是磁盘，也有基于NANDFlash的固态硬盘)或分区上的文件的方法和数据结构；即在存储设备上组织文件的方法。操作系统中负责管理和存储文件信息的软件机构称为文件管理系统，简称文件系统。文件系统由三部分组成：文件系统的接口，对对象操纵和管理的软件集合，对象及属性。从系统角度来看，文件系统是对文件存储设备的空间进行组织和分配，负责文件存储并对存入的文件进行保护和检索的系统。具体地说，它负责为用户建立文件，存入、读出、修改、转储文件，控制文件的存取，当用户不再使用时撤销文件等。勒索软件调用的文件系统的接口会以文件的名称为顺序检索并返回文件，例如windows文件系统的接口会默认优先返回以空格、特殊字符开头的文件及文件夹名称。因此，基于上述任本文档来自技高网...

【技术保护点】
一种勒索软件的防范方法，其特征在于，包括：在系统中创建诱饵文件；实时监测所述诱饵文件；若监测到所述诱饵文件被同一进程检索和进行写操作，则将所述进程对应的程序标记为述疑似勒索软件；阻止被标记为疑似勒索软件的程序对所有文件的写操作。

【技术特征摘要】
1.一种勒索软件的防范方法，其特征在于，包括：在系统中创建诱饵文件；实时监测所述诱饵文件；若监测到所述诱饵文件被同一进程检索和进行写操作，则将所述进程对应的程序标记为述疑似勒索软件；阻止被标记为疑似勒索软件的程序对所有文件的写操作。2.根据权利要求1所述的方法，其特征在于，所述在系统中创建诱饵文件，包括：在系统的每个盘符根目录及桌面文件下创建诱饵文件。3.根据权利要求1或2所述的方法，其特征在于，所述诱饵文件的文件名采用特殊字符命名。4.根据权利要求1所述的方法，其特征在于，若所述诱饵文件建立在诱饵文件夹下，所述诱饵文件夹的名称采用特殊字符命名。5.根据权利要求1所述的方法，其特征在于，所述实时监测所述诱饵文件，包括：监测每个非系统进程的API调用。6.根据权利要求1所述的方法，其特征在于，所述实时监测所述诱饵文件，包括：监测勒索软件必然会调用...

【专利技术属性】
技术研发人员：何华荣，王志，祝青柳，
申请(专利权)人：深圳市联软科技股份有限公司，
类型：发明
国别省市：广东,44