【技术实现步骤摘要】
【国外来华专利技术】响应于检测潜在勒索软件以用于修改文件备份的系统和方法
技术介绍
勒索软件是一种特定形式的恶意软件,该恶意软件可通过防止访问或以其他方式妨碍该设备的正常功能而将计算设备固定为寄主,除非用户付费移除该恶意软件。例如,加密病毒的敲诈可通过加密用户的文件(例如,使用会话密钥)并且在解密该用户的文件和恢复该用户对其文件的访问之前要求付款来实现。安全软件传统上试图在已经感染的设备和/或试图最小化感染期间造成的损坏之后移除恶意软件。然而,由于在加密病毒的敲诈的加密过程中使用了大量的密钥,所以这种形式的勒索软件在攻击之后可能几乎无法克服,而无需拥有攻击中使用的加密密钥。因为如此,一些安全解决方案可能会创建文件的备份副本(例如,通过镜像该设备上的现有文件),并且在发生攻击的情况下将它们存储在独立的位置。然而,如果未及时检测到勒索软件,则这些备份副本可能会简单地镜像该加密文件,并且没有留给该用户恢复选项。因此,本公开识别并解决了用于检测勒索软件和管理文件的另外和改进系统的需求,以便防止由于加密病毒的敲诈和其他形式的勒索软件的攻击而导致的文件和数据的完全丢失。
技术实现思路
如下文将更详细地描述...
【技术保护点】
1.一种响应于检测潜在勒索软件以用于修改文件备份的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备执行,所述方法包括:在文件备份过程期间检测潜在地指示所述计算设备上的勒索软件的异常;响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他备份副本分离的位置中;确认所述异常指示所述计算设备上的勒索软件;响应于所述异常指示所述计算设备上的勒索软件的确认来调整备份策略;基于所述经调整的备份策略来管理所述备份副本。
【技术特征摘要】
【国外来华专利技术】2016.02.01 US 15/0116951.一种响应于检测潜在勒索软件以用于修改文件备份的计算机实现的方法,所述方法的至少一部分由包括至少一个处理器的计算设备执行,所述方法包括:在文件备份过程期间检测潜在地指示所述计算设备上的勒索软件的异常;响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他备份副本分离的位置中;确认所述异常指示所述计算设备上的勒索软件;响应于所述异常指示所述计算设备上的勒索软件的确认来调整备份策略;基于所述经调整的备份策略来管理所述备份副本。2.根据权利要求1所述的方法,其中检测潜在地指示所述计算设备上的勒索软件的所述异常包括以下中的至少一者:确定所述文件备份过程中至少一个文件的内容异常;检测所述计算设备上的异常文件修改过程。3.根据权利要求2所述的方法,其中确定所述文件的内容异常包括以下中的至少一者:确定所述文件的内容与所述文件的类型不匹配;确定所述文件的标题与所述文件的类型不匹配;确定所述文件的熵高于预期。4.根据权利要求2所述的方法,其中检测所述异常文件修改过程包括以下中的至少一者:通过所述文件修改过程来确定资源的使用超过预定阈值;通过所述文件修改过程来确定访问的多个文件异常。5.根据权利要求1所述的方法,其中将所述备份副本存储在所述分离的位置中包括防止所述备份副本替换所述其他备份副本中的现有备份副本。6.根据权利要求1所述的方法,其中确认所述异常指示所述计算设备上的勒索软件包括以下中的至少一者:识别所述计算设备上的勒索软件;从安装在所述计算设备上的杀毒软件接收对勒索软件的确认;从所述计算设备的用户接收对勒索软件的所述确认;在所述计算设备接近度内的另一个计算设备上检测勒索软件的攻击。7.根据权利要求6所述的方法,其中所述计算设备的所述接近度包括以下中的至少一者:所述计算设备的物理接近度;所述计算设备和所述其他计算设备的逻辑分组。8.根据权利要求1所述的方法,其中调整所述备份策略包括以下中的至少一者:将至少一个文件隔离在所述文件备份过程中;终止所述文件备份过程;调整所述文件备份过程的频率;调整要保留的多个备份副本;调整要备份的文件列表。9.根据权利要求1所述的方法,其中基于所述经调整的备份策略来管理所述备份副本包括:丢弃所述备份副本;保留安全的备份副本;使用所述安全的备份副本替换所述备份副本。10.根据权利要求1所述的方法,还包括:不确认所述异常指示所述计算设备上的勒索软件;将所述备份副本与所述其他备份副本合并。11.一种响应于检测潜在勒索软件以用于修改文件备份的系统,所述系统包括:存储在存储器中的检测模块,所述检测模块在文件备份过程期间检测潜在地指示计算设备上勒索软件的异常;存储在存储器中的存储模块,所述存储模块响应于检测到潜在地指示勒索软件的所述异常,来将备份副本存储在与其他...
【专利技术属性】
技术研发人员:L·顾,I·索科洛夫,
申请(专利权)人:赛门铁克公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。