A system for detecting blackmail software attacks on client devices through cloud services is provided. The system monitors changes to files on client devices stored by cloud services. The system evaluates whether changes to files seem malicious, because the changes may be caused by blackmail software. When changes to files seem malicious, the system implements countermeasures to prevent the synchronization of files from client devices with other client devices and with cloud services, and to prevent the spread of files from client devices that are being blackmailed by software.
【技术实现步骤摘要】
【国外来华专利技术】对云驱动器文件夹上勒索软件攻击的补救
技术介绍
勒索软件是拒绝受害人访问他们的文件并然后要求支付赎金以换取允许访问的恶意软件。例如,勒索软件可以加密受害人的文件,并然后在收到赎金后向受害人提供用于解密文件的密钥。勒索软件可以经由特洛伊木马被安装在受害人的计算机上,特洛伊木马看似是合法的程序,但实际上包含恶意软件。如果支付了赎金,但却未从受害人的计算机移除勒索软件,那么该勒索软件可以再次重复加密文件并要求支付赎金的过程。一种众所周知的勒索软件是Locky,其发布于2016年。勒索软件作为包含恶意宏的电子邮件附件到达。当用户打开该附件时,如果内容看似是乱码,则该附件请求用户启用宏,因为内容确实是乱码时会这样做。当用户启用宏时,恶意软件被下载并被执行。勒索软件加密文件,并用唯一的16个字符的字母数字名称和“locky”扩展名对这些文件进行重命名。然后指示用户访问网站以获得进一步指示。该网站要求支付价值在350美元到750美元之间的比特币。当付款完成后,解密密钥会被提供给用户,然后用户可以解密文件。勒索软件是一个影响全世界数百万台计算机的日益严重的问题。另一众所周知的勒索软件(被称为CryptoWall)估计已经收到了超过1800万美元的赎金。此外,勒索软件攻击者在2016年上半年估计已经获得了超过10亿美元的收入。鉴于云计算的快速发展,勒索软件一直以云存储为目标也就不足为奇了。通常,用户会设置他们的计算机以便经由基于云的存储装置使被存储在他们的计算机上的文件与他们的其它设备同步。一旦文件被勒索软件加密,则与被加密文件同步的文件的所有副本也会被加密。因此,如果用户有多个 ...
【技术保护点】
1.一种由计算设备执行的用于通过云服务检测对客户端设备的勒索软件攻击的方法,所述方法包括:监测对所述客户端设备的文件的更改,所述文件由所述云服务存储;评估对文件的更改是否看似是恶意的,因为所述更改可能是由勒索软件导致的;以及当对所述文件的所述更改看似是恶意的时,执行对策,以防止所述客户端设备的文件与其它客户端设备的同步和与所述云服务的同步,来防止来自正在遭受勒索软件攻击的所述客户端设备的文件的传播。
【技术特征摘要】
【国外来华专利技术】2016.07.26 US 62/367,060;2016.12.09 US 15/375,0011.一种由计算设备执行的用于通过云服务检测对客户端设备的勒索软件攻击的方法,所述方法包括:监测对所述客户端设备的文件的更改,所述文件由所述云服务存储;评估对文件的更改是否看似是恶意的,因为所述更改可能是由勒索软件导致的;以及当对所述文件的所述更改看似是恶意的时,执行对策,以防止所述客户端设备的文件与其它客户端设备的同步和与所述云服务的同步,来防止来自正在遭受勒索软件攻击的所述客户端设备的文件的传播。2.根据权利要求1所述的方法,所述方法进一步包括:执行将以下文件恢复到先前版本的对策:所述文件的更改看似是恶意的。3.根据权利要求1所述的方法,其中所述评估包括:应用被训练以检测恶意更改的分类器。4.根据权利要求3所述的方法,所述方法进一步包括:当对所述文件的所述更改看似是恶意的时,请求用户确认所述更改是否是恶意的。5.根据权利要求4所述的方法,所述方法进一步包括:将与所述更改有关的信息连同标签一起进行存储,以用于训练所述分类器,所述标签指示如由所述用户确认的所述更改是否是恶意的。6.一种恶意软件检测系统,所述恶意软件检测系统经由云存储系统辅助防止被恶意更改的文件的传播,所述恶意软件检测系统包括:一种或多种计算机可读存储介质,所述计算机可读存储介质储存计算机可执行指令,所述计算机可执行指令在被执行时控制一个或多个处理器以:通过在接收到标识文件的文件事件通知时检索所述文件并且提取与所述文件和所述文件事件通知有关的特征来处理文件事件通知;通过将所提取的所述特征输入到指示更改是否看似是恶意的分类器,来检测所提取的所述特征是否指示所述更改看似是恶意的;以及当所述更改看似是恶意的时,处理所述更改以标识要被采取的对策,所述对策包括抑制文件与所述云存储系统的同步;以及执行被存储在所述计算机可读存储介质中的所述计算机可执行指令的所述一个或多个处理器。7.根据权利要求6所述的勒索软件检测系统,其中所述计算机可执行指令进一步控制所述一个或多个处理器...
【专利技术属性】
技术研发人员:E·艾瓦尼,C·拉哈夫,G·塔米尔,
申请(专利权)人:微软技术许可有限责任公司,
类型:发明
国别省市:美国,US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。