查杀勒索软件的方法、装置和设备、存储介质及处理器制造方法及图纸

本申请公开了一种查杀勒索软件的方法、装置和设备、存储介质及处理器。其中，该查杀勒索软件的设备包括：存储器，包括至少一个存储区域，用于在任意一个存储区域预置至少一个格式文件，其中，格式文件位于存储区域的头部和/或尾部；处理器，用于如果监控到存储器中预置的格式文件发生变化，则确定存在勒索软件处理格式文件，获取勒索软件对应的进程，并查杀进程。本申请解决了现有的查杀勒索软件方案通过黑名单方式对勒索软件进行查杀存在滞后，导致查杀效率低的技术问题。

Methods, devices, devices, storage media and processors of extortion software

This application discloses a method, device and equipment, storage medium and processor for killing extortion software. Among them, the device of the extortion software includes: a memory, including at least one storage area, for presetting at least one format file in any storage area, where the format file is located at the head and/or tail of the storage area, and a processor for determining the existence of extortion software processing format file if the pre-format file in the memory changes. Get the process corresponding to blackmail software and kill the process. This application solves the technical problem of low efficiency of extortion software due to the lag of extortion software detection by blacklist method.

【技术实现步骤摘要】
查杀勒索软件的方法、装置和设备、存储介质及处理器
本专利技术涉及网络安全领域，具体而言，涉及一种查杀勒索软件的方法、装置和设备、存储介质及处理器。
技术介绍
随着互联网技术的发展，网络已经成为人们生活和工作不可缺少的一部分。互联网用户通过计算机网络可以获取海量信息，并方便地与其他用户进行沟通和交流，实现信息资源的共享。然而，计算机网络技术的快速发展，使得网络环境变得越来越复杂，网络安全问题日益突出，勒索软件是近年数量增加最快的网络威胁之一。勒索软件通常会将用户系统上文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。目前，常用的勒索软件防御方法是通过黑名单方式，将所有程序或文件与黑名单中的程序或文件进行比对，如果比对成功，则确定是勒索软件，将对应的进程进行查杀，并隔离对应的二进制文件。但是，由于黑名单是提前收集到的已知的勒索软件的程序或文件，对于未知的勒索软件存在滞后问题，会出现漏杀的情况，未知的勒索软件一旦运行成功，即刻可对格式文件进行加密，如果受害用户没有提前备份数据，则无法恢复被加密的文件。针对上述现有的查杀勒索软件方案通过黑名单方式对勒索软件进行查杀存在滞后，导致查杀效率低的问题，目前尚未提出有效的解决方案。
技术实现思路
本申请实施例提供了一种查杀勒索软件的方法、装置和设备、存储介质及处理器，以至少解决现有的查杀勒索软件方案通过黑名单方式对勒索软件进行查杀存在滞后，导致查杀效率低的技术问题。根据本申请实施例的一个方面，提供了一种查杀勒索软件的设备，包括：存储器，包括至少一个存储区域，用于在任意一个存储区域预置至少一个格式文件，其中，格式文件位于存储区域的头部和/或尾部；处理器，用于如果监控到存储器中预置的格式文件发生变化，则确定存在勒索软件处理格式文件，获取勒索软件对应的进程，并查杀进程。根据本申请实施例的另一方面，还提供了一种查杀勒索软件的方法，包括：监控存储区域中预置的格式文件，其中，格式文件位于存储区域的头部和/或尾部；如果监控到格式文件发生变化，则确定存在勒索软件处理格式文件；获取勒索软件对应的进程，并查杀进程。根据本申请实施例的另一方面，还提供了一种查杀勒索软件的装置，包括：监控单元，用于监控存储区域中预置的格式文件，其中，格式文件位于存储区域的头部和/或尾部；确定单元，用于如果监控到格式文件发生变化，则确定存在勒索软件处理格式文件；查杀单元，用于获取勒索软件对应的进程，并查杀进程。根据本申请实施例的另一方面，还提供了一种安全处理方法，其特征在于，包括：监控存储区域中预置的格式文件，其中，格式文件位于存储区域的头部和/或尾部；如果监控到格式文件发生变化，则确定存在安全威胁；获取安全威胁对应的进程，并查杀进程。根据本申请实施例的另一方面，还提供了一种存储介质，包括：存储的程序，其中，在程序运行时控制存储介质所在设备执行如下处理步骤：监控存储区域中预置的格式文件，其中，格式文件位于存储区域的头部和/或尾部；如果监控到格式文件发生变化，则确定存在勒索软件处理格式文件；获取勒索软件对应的进程，并查杀进程。根据本申请实施例的另一方面，还提供了一种处理器，处理器用于运行程序，其中，程序运行时执行如下处理步骤：监控存储区域中预置的格式文件，其中，格式文件位于存储区域的头部和/或尾部；如果监控到格式文件发生变化，则确定存在勒索软件处理格式文件；获取勒索软件对应的进程，并查杀进程。在本申请实施例中，监控存储区域中预置的格式文件，如果监控到格式文件发生变化，则确定存在勒索软件处理格式文件，获取勒索软件对应的进程，并查杀进程，从而实现查杀勒索软件的目的。容易注意到的是，由于在存储区域的头部或尾部预置了格式文件，勒索软件会优先对格式文件进行处理，实时监控格式文件是否发生变化，进一步地，由于勒索软件处理的是预先设置的格式文件，而不是受害者的正常的格式文件，保证用户的格式文件不会被勒索软件进行处理，从而达到提升查杀勒索软件的实时性，并提升查杀勒索软件的查杀效果的技术效果。因此，本申请上述实施了提供的方案解决了现有的查杀勒索软件方案通过黑名单方式对勒索软件进行查杀存在滞后，导致查杀效率低的技术问题。附图说明此处所说明的附图用来提供对本专利技术的进一步理解，构成本申请的一部分，本专利技术的示意性实施例及其说明用于解释本专利技术，并不构成对本专利技术的不当限定。在附图中：图1是根据本申请实施例的一种查杀勒索软件的设备的示意图；图2是根据本申请实施例的一种用于实现查杀勒索软件的方法的计算机终端的硬件结构框图；图3是根据本申请实施例的一种查杀勒索软件的方法的流程图；图4是根据本申请实施例的一种可选的查杀勒索软件的方法的流程图；图5是根据本申请实施例的一种查杀勒索软件的装置的示意图；图6是根据本申请实施例的一种安全处理方法的流程图；以及图7是根据本申请实施例的一种计算机终端的结构框图。具体实施方式为了使本
的人员更好地理解本申请方案，下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本申请一部分的实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都应当属于本申请保护的范围。需要说明的是，本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本申请的实施例能够以除了在这里图示或描述的那些以外的顺序实施。此外，术语“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。首先，在对本申请实施例进行描述的过程中出现的部分名词或术语适用于如下解释：格式文件：可以是勒索软件常加密的敏感文件，例如，可以是文件类型为doc、c、cpp、java、html、ppt等的文件。进程：是计算机中的程序关于某数据集合上的一次运行活动，是系统进行资源分配和调度的基本单位，是操作系统结构的基础。程序是指令、数据及其组织形式的描述，进程是程序的实体。ASCII码：是AmericanStandardCodeforInformationInterchange的简写，使用指定的7位或8位二进制数组合来表示128或256种可能的字符。标准ASCII码也叫基础ASCII码，使用7位二进制数来表示所有的大写和小写字母，数字0到9、标点符号，以及在美式英语中使用的特殊控制字符。实施例1根据本申请实施例，提供了一种查杀勒索软件的设备的实施例。图1是根据本申请实施例的一种查杀勒索软件的设备的示意图，如图1所示，该查杀勒索软件的设备包括：存储器12，包括至少一个存储区域120，用于在任意一个存储区域预置至少一本文档来自技高网...

【技术保护点】
1.一种查杀勒索软件的设备，其特征在于，包括：存储器，包括至少一个存储区域，用于在任意一个存储区域预置至少一个格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；处理器，用于如果监控到所述存储器中预置的格式文件发生变化，则确定存在勒索软件处理所述格式文件，获取所述勒索软件对应的进程，并查杀所述进程。

【技术特征摘要】
1.一种查杀勒索软件的设备，其特征在于，包括：存储器，包括至少一个存储区域，用于在任意一个存储区域预置至少一个格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；处理器，用于如果监控到所述存储器中预置的格式文件发生变化，则确定存在勒索软件处理所述格式文件，获取所述勒索软件对应的进程，并查杀所述进程。2.一种查杀勒索软件的方法，其特征在于，包括：监控存储区域中预置的格式文件，其中，所述格式文件位于所述存储区域的头部和/或尾部；如果监控到所述格式文件发生变化，则确定存在勒索软件处理所述格式文件；获取所述勒索软件对应的进程，并查杀所述进程。3.根据权利要求2所述的方法，其特征在于，所述预置的格式文件包括至少一种类型的数据文件，并通过在所述格式文件的头部标记不同的字符串来使得所述格式文件位于所述存储区域的头部和/或尾部。4.根据权利要求3所述的方法，其特征在于，在所述头部标记为ASCII码中最小的字母的情况下，所述格式文件位于所述存储区域的尾部；在所述头部标记为ASCII码中最大的字母的情况下，所述格式文件位于所述存储区域的头部。5.根据权利要求2至4中任意一项所述的方法，其特征在于，如果监控到所述格式文件发生变化，则确定存在勒索软件处理所述格式文件，包括：如果监控到所述格式文件被修改，则确定所述格式文件发生变化，其中，通过判断所述格式文件的任意一个或多个位置的内容是否发生变化来确定所述格式文件是否被修改。6.根据权利要求5所述的方法，其特征在于，获取所述勒索软件对应的进程，并查杀所述进程，包括：根据文件读写表反查发生修改的格式文件所对应的进程，并查杀所述进程，该步骤包括：发送所述格式文件至驱动程序；所述驱动程序枚举读写文件记录，获取与所述格式文件对应的进程；如果在白名单内查询得到所述进程，则查杀所述进程，并隔离所述进程对应的文...

【专利技术属性】
技术研发人员：董斌雁，
申请(专利权)人：阿里巴巴集团控股有限公司，
类型：发明
国别省市：开曼群岛,KY