对云驱动器文件夹上勒索软件攻击的补救制造技术

提供了一种通过云服务用于检测对客户端设备的勒索软件攻击的系统。系统监测对由云服务存储的客户端设备的文件的更改。系统评估对文件的更改是否看似是恶意的，因为该更改可能是由勒索软件导致的。当对文件的更改看似是恶意的时，系统执行对策，以防止客户端设备的文件与其它客户端设备的同步以及与云服务的同步，来防止来自正在遭受勒索软件攻击的客户端设备的文件的传播。

Remedy for Blackmail Software Attacks on Cloud Drive Folders

A system for detecting blackmail software attacks on client devices through cloud services is provided. The system monitors changes to files on client devices stored by cloud services. The system evaluates whether changes to files seem malicious, because the changes may be caused by blackmail software. When changes to files seem malicious, the system implements countermeasures to prevent the synchronization of files from client devices with other client devices and with cloud services, and to prevent the spread of files from client devices that are being blackmailed by software.

【技术实现步骤摘要】
【国外来华专利技术】对云驱动器文件夹上勒索软件攻击的补救
技术介绍
勒索软件是拒绝受害人访问他们的文件并然后要求支付赎金以换取允许访问的恶意软件。例如，勒索软件可以加密受害人的文件，并然后在收到赎金后向受害人提供用于解密文件的密钥。勒索软件可以经由特洛伊木马被安装在受害人的计算机上，特洛伊木马看似是合法的程序，但实际上包含恶意软件。如果支付了赎金，但却未从受害人的计算机移除勒索软件，那么该勒索软件可以再次重复加密文件并要求支付赎金的过程。一种众所周知的勒索软件是Locky，其发布于2016年。勒索软件作为包含恶意宏的电子邮件附件到达。当用户打开该附件时，如果内容看似是乱码，则该附件请求用户启用宏，因为内容确实是乱码时会这样做。当用户启用宏时，恶意软件被下载并被执行。勒索软件加密文件，并用唯一的16个字符的字母数字名称和“locky”扩展名对这些文件进行重命名。然后指示用户访问网站以获得进一步指示。该网站要求支付价值在350美元到750美元之间的比特币。当付款完成后，解密密钥会被提供给用户，然后用户可以解密文件。勒索软件是一个影响全世界数百万台计算机的日益严重的问题。另一众所周知的勒索软件(被称为CryptoWall)估计已经收到了超过1800万美元的赎金。此外，勒索软件攻击者在2016年上半年估计已经获得了超过10亿美元的收入。鉴于云计算的快速发展，勒索软件一直以云存储为目标也就不足为奇了。通常，用户会设置他们的计算机以便经由基于云的存储装置使被存储在他们的计算机上的文件与他们的其它设备同步。一旦文件被勒索软件加密，则与被加密文件同步的文件的所有副本也会被加密。因此，如果用户有多个设备(例如，工作台式电脑、家用台式电脑、笔记本电脑、以及智能手机)，那么每个设备和云存储装置上的文件的副本都将被加密。一个云存储供应商意识到了这个问题并指出：如果在30天内检测到加密，则可以恢复文件的先前版本。在一些实例中，可能不能够重新生成自在前版本以来所做的更改，或者重新生成更改的成本可能远远超过赎金。一些云存储供应商可能允许用户一次只恢复一个文件，而数千个文件可能已经被加密了，这使得恢复至少非常繁琐并且可能是不可行的。此外，一些用户可能不会检测到加密直到太晚以至于无法检索到在前版本。
技术实现思路
提供了一种用于通过云服务检测对客户端设备的勒索软件攻击的系统。该系统监测对由云服务存储的客户端设备的文件的更改。该系统评估对文件的更改是否看似是恶意的，因为更改可能是由勒索软件导致的。当对文件的更改看似是恶意的时，该系统执行对策，以防止客户端设备的文件与其它客户端设备的同步以及与云服务的同步，来防止来自正遭受勒索软件攻击的客户端设备的文件的传播。附图说明图1是图示了一些实施例中的ARC系统的总体处理的流程图。图2是图示了在一些实施例中的ARC系统内的信息流的框图。图3是图示了在一些实施例中的ARC系统的组件以及与ARC系统进行接口连接的组件的示例布置的框图。图4是图示了在一些实施例中的ARC系统的文件事件处理器组件的处理的流程图。图5是图示了在一些实施例中的ARC系统的实时勒索软件检测器组件的处理的流程图。图6是图示了在一些实施例中的ARC系统的勒索软件处理器组件的处理的流程图。图7是图示了在一些实施例中的ARC系统的对策处理器组件的处理的流程图。图8是图示了在一些实施例中的ARC系统的通知用户组件的处理的流程图。具体实施方式提供了一种反勒索软件云服务(“ARC”)系统，该系统自动检测到勒索软件已经攻击文件并自动将文件返回到受攻击前的状态。ARC系统可以作为服务被提供给现有云提供商系统或被提供作为在客户端设备上执行的代理扩展器组件。当ARC系统作为服务被提供给现有云提供商系统时，客户端设备可以像以前一样与云提供商系统交互，但是它被无缝地提供了勒索软件保护。当ARC系统被提供作为代理扩展器组件时，该组件向在客户端设备上执行的现有云提供商代理提供附加能力。可以采用ARC系统来检测并处理对文件的任何恶意更改，包括并非由勒索软件导致的恶意更改。例如，黑客可能会故意地或无辜的行动者可能会无意地破坏文件、中断文件、或以其他方式篡改用户的文件但未要求赎金。通常，术语“恶意的”可以被认为涵盖任何未经授权的更改，而不管意图。在一些实施例中，ARC系统通过使用更改通知、不断扫描文件等来监测对用户文件的更改。当检测到对文件的更改时，ARC系统确定文件是否被恶意更改(例如，被删除、被加密、或者以其他方式被损坏)。为了确定文件是否已经被恶意更改，ARC系统可以使用各种检测标准，诸如(a)熵变、(b)试探法、(c)用户行为的突然改变(例如，行为分析)、以及(d)蜜罐(honeypot)文件或被存储在云提供商的存储装置上的或被存储在客户端设备的存储装置上的文件上的目录的更改。当确定文件被恶意更改了时，ARC系统可以通知用户或恢复到已经被保存在云存储装置中的攻击之前的版本。在一些实施例中，代理扩展器组件作为已经在客户端设备上执行的云提供商代理的附加件在客户端设备上执行。由于代理在本地运行并且已经在监测文件更改，所以代理扩展器组件利用了这种功能并添加了查找勒索软件活动的安全检测层。代理扩展器组件可以最终指示应该采取的补救措施。例如，代理扩展器组件可以指示应该拒绝对云的文件同步。代理扩展器组件可以通过断开客户端设备与云的链接或撤消与云同步的权限来使同步被拒绝。代理扩展器组件也可以在检测阶段与用户交互以减少误报。例如，当代理扩展器组件确定文件可能已经被恶意更改时，代理扩展器组件可以不允许将该文件与云同步直到用户确认该更改是被授权的为止。代理扩展器组件可以使用“全自动区分计算机和人类的公共图灵测试”(“CAPTCHA”)来确保其不是正响应于对确认的请求的勒索软件。由于代理扩展器组件是对云提供商代理的附加件，所以代理扩展器组件可以与不同的云提供商的代理一起使用。在一些实施例中，ARC系统可以使用数据分析学来帮助在合法更改与恶意更改之间进行区分。ARC系统可以使用各种机器学习技术(诸如支持向量机、贝叶斯网络、学习回归、神经网络、大数据分析、演化算法等)来检测恶意更改。ARC系统可以收集各种特征，诸如文件更改的数目和频率、文件更改的位置、更改的模式(文件扩展名、文件头、熵变、文件类型)、用户信息(例如组织或位置)等。在收集特征之后，ARC系统可以以每个用户为基础、以每个组织为基础、或以一些其它用户分区为基础来学习分类器。例如，ARC系统可以使用各种聚类技术基于用户的各种属性(例如商务用户或个人用户以及计算机使用的频率)来生成用户的集群。在一些实施例中，ARC系统可以采用支持向量机来为每个用户或每个用户分区训练分类器。为了训练分类器，训练数据包括恶意文件更改的样本和合法文件更改的样本，其中每个样本包括特征的特征向量和指示该样本是否表示恶意或合法更改的标签。支持向量机通过在可能的输入的空间中找到超曲面来进行操作。该超曲面试图通过将最近的正反样本与超曲面之间的距离最大化来从负面示例(例如不是勒索软件)中分离出正面示例(例如勒索软件)。支持向量机同时最小化经验分类错误并最大化几何边缘。这允许对与训练数据类似但不同的数据的正确分类。可以使用各种技术来训练支持向量机。一种技术使用序列最小优化算法，本文档来自技高网...

【技术保护点】
1.一种由计算设备执行的用于通过云服务检测对客户端设备的勒索软件攻击的方法，所述方法包括：监测对所述客户端设备的文件的更改，所述文件由所述云服务存储；评估对文件的更改是否看似是恶意的，因为所述更改可能是由勒索软件导致的；以及当对所述文件的所述更改看似是恶意的时，执行对策，以防止所述客户端设备的文件与其它客户端设备的同步和与所述云服务的同步，来防止来自正在遭受勒索软件攻击的所述客户端设备的文件的传播。

【技术特征摘要】
【国外来华专利技术】2016.07.26 US 62/367,060;2016.12.09 US 15/375,0011.一种由计算设备执行的用于通过云服务检测对客户端设备的勒索软件攻击的方法，所述方法包括：监测对所述客户端设备的文件的更改，所述文件由所述云服务存储；评估对文件的更改是否看似是恶意的，因为所述更改可能是由勒索软件导致的；以及当对所述文件的所述更改看似是恶意的时，执行对策，以防止所述客户端设备的文件与其它客户端设备的同步和与所述云服务的同步，来防止来自正在遭受勒索软件攻击的所述客户端设备的文件的传播。2.根据权利要求1所述的方法，所述方法进一步包括：执行将以下文件恢复到先前版本的对策：所述文件的更改看似是恶意的。3.根据权利要求1所述的方法，其中所述评估包括：应用被训练以检测恶意更改的分类器。4.根据权利要求3所述的方法，所述方法进一步包括：当对所述文件的所述更改看似是恶意的时，请求用户确认所述更改是否是恶意的。5.根据权利要求4所述的方法，所述方法进一步包括：将与所述更改有关的信息连同标签一起进行存储，以用于训练所述分类器，所述标签指示如由所述用户确认的所述更改是否是恶意的。6.一种恶意软件检测系统，所述恶意软件检测系统经由云存储系统辅助防止被恶意更改的文件的传播，所述恶意软件检测系统包括：一种或多种计算机可读存储介质，所述计算机可读存储介质储存计算机可执行指令，所述计算机可执行指令在被执行时控制一个或多个处理器以：通过在接收到标识文件的文件事件通知时检索所述文件并且提取与所述文件和所述文件事件通知有关的特征来处理文件事件通知；通过将所提取的所述特征输入到指示更改是否看似是恶意的分类器，来检测所提取的所述特征是否指示所述更改看似是恶意的；以及当所述更改看似是恶意的时，处理所述更改以标识要被采取的对策，所述对策包括抑制文件与所述云存储系统的同步；以及执行被存储在所述计算机可读存储介质中的所述计算机可执行指令的所述一个或多个处理器。7.根据权利要求6所述的勒索软件检测系统，其中所述计算机可执行指令进一步控制所述一个或多个处理器...

【专利技术属性】
技术研发人员：E·艾瓦尼，C·拉哈夫，G·塔米尔，
申请(专利权)人：微软技术许可有限责任公司，
类型：发明
国别省市：美国,US