一种勒索软件的防护方法、装置、电子设备及存储介质制造方法及图纸

本发明专利技术公开了一种勒索软件的防护方法、装置、电子设备及存储介质，所述方法包括：电子设备如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在修改操作文件中保存所述信息的记录时间；根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；如果是，阻断所述进程对文件进行修改操作。在本发明专利技术实施例中能够有效地提高针对勒索软件的防护能力。

【技术实现步骤摘要】
一种勒索软件的防护方法、装置、电子设备及存储介质
本专利技术涉及信息安全
，尤其涉及一种勒索软件的防护方法、装置、电子设备及存储介质。
技术介绍
勒索软件是计算机恶意软件的一种类型，通常通过电子邮件和木马病毒进行传播，感染用户计算机或手机等电子设备，感染后通过多种复杂的加密算法或者修改用户的文件等一种方式或几种方式的结合来加密用户的文件，使用户无法正常访问文件，从而向用户索要用于恢复文件的赎金。勒索软件的目标通常是用户的个人数据，包括文档、数据库、源代码、图片、视频等等，赎金货币通常是比特币。勒索软件在近年来开始大规模爆发，已经有数百万人成为了勒索软件的受害者。一旦用户数据被勒索软件加密，只有勒索软件作者才能解密，但即使用户支付赎金，也不能保证其文件一定能得到解密。如果是用户的重要数据被加密，就很有可能面临无法恢复的风险，给用户造成非常大的损失，因此需要针对勒索软件进行防护。现有技术中针对勒索软件的防护方法通常是，利用杀毒软件扫描软件特征的方式发现已知类型的勒索软件，如果发现，则立即阻断勒索软件，但是如果勒索软件特征发生变化，杀毒软件就可能无法检测出，防护能力低。
技术实现思路
本本文档来自技高网...

【技术保护点】
一种勒索软件的防护方法，其特征在于，应用于电子设备，该方法包括：如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在所述修改操作文件中保存所述信息的记录时间；根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；如果是，阻断所述进程对文件进行修改操作。

【技术特征摘要】
1.一种勒索软件的防护方法，其特征在于，应用于电子设备，该方法包括：如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在所述修改操作文件中保存所述信息的记录时间；根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；如果是，阻断所述进程对文件进行修改操作。2.如权利要求1所述的方法，其特征在于，在所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前，所述方法还包括：判断所述进程的信息是否保存在勒索软件进程黑名单中；如果是，阻断所述进程对文件进行修改操作；如果否，进行后续步骤。3.如权利要求1所述的方法，其特征在于，所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中包括：根据所述修改操作的类型，将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中。4.如权利要求3所述的方法，其特征在于，所述根据所述修改操作的类型，将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中包括：如果所述修改操作的类型为写操作，则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的信息及所述长度对应的被修改的内容的信息；如果所述修改操作的类型为重命名操作，则记录所述进程的标识信息、修改前的文件名及修改后的文件名，其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名；如果所述修改操作的类型为创建操作，则记录所述进程的标识信息及创建的所述文件的文件名；如果所述修改操作的类型为删除操作，则记录所述进程的标识信息、所述文件的标识信息及所述文件中被删除的内容。5.如权利要求3或4所述的方法，其特征在于，所述根据所述修改操作文件中所述记录时间之前的设定时间长度内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程包括：判断所述进程的第一目标修改操作的信息是否满足以下至少一个条件，如果是，确定所述进程为勒索软件进程；其中所述至少一个条件包括：所述进程对至少两个不同格式的文件，进行了对文件后缀名的重命名操作和写操作；或所述进程对至少两个不同格式的文件进行写操作，且对所述至少两个不同格式的文件包含的全部内容或固定长度的内容进行写操作；或所述进程对同一目录下的至少两个不同格式的文件进行删除操作，且在所述目录下创建了不符合预设格式的文件。6.如权利要求1所述的方法，其特征在于，所述阻断所述进程对文件进行修改操作后，所述方法还包括：根据所述进程对应的每条第一目标修改操作的信息，对所述进程对应的每条第一目标修改操作进行回滚，将对应的每个文件恢复为修改前的文件。7.如权利要求1所述的方法，其特征在于，监控到系统中的进程对文件进行修改操作后，在将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前，所述方法还包括：识别所述进程进行修改操作的文件是否为修改操作文件；如果否，则允许所述进程对所述文件进行修改操作，进行后续步骤；如果是，当所述进程不存在修改权限时，阻断所述进程对所述修改操作文件进行修改操作。8.如权利要求1所述的方法，其特征在于，如果所述进程非勒索软件进程，则所述方法还包括：允许所述进程对文件进行修改操作；根据所述进程对应的每条第二目标修改操作的信息，将记录时长超过设定的第二记录时长的第二目标修改操作的信息进行删除。9.一种勒索软件的防护装置，其特征在于，应用于电子设备，该装置包括：文件代理模块，用...

【专利技术属性】
技术研发人员：樊宇，陈寒冰，刘文辉，叶晓虎，
申请(专利权)人：北京神州绿盟信息安全科技股份有限公司，北京神州绿盟科技有限公司，
类型：发明
国别省市：北京,11