用于缓解勒索软件攻击的勒索软件缓解系统及其方法技术方案

本发明专利技术涉及一种勒索软件缓解系统及其方法。该勒索软件缓解系统监控计算设备上文件的修改速率，以确定所监控的修改速率是否超过预定阈值。如果超过阈值，则该勒索软件缓解系统致动计算设备的强制关闭和/或计算设备所连接网络的强制断开。该勒索软件缓解系统包括软件监控部以及硬件开关单元。该软件监控部与该硬件开关单元在单独网络上进行同步双向通信。如果软件监控部关闭，则该硬件开关单元致动计算设备关闭和/或断开。该硬件开关单元包括硬件锁，该硬件锁需要实际的人来维护。该硬件锁需要实际的人来维护。该硬件锁需要实际的人来维护。

【技术实现步骤摘要】
【国外来华专利技术】用于缓解勒索软件攻击的勒索软件缓解系统及其方法


[0001]本专利技术涉及一种勒索软件和恶意入侵缓解系统，尤其涉及用于至少部分减少勒索软件攻击或类似恶意入侵的负面后果的缓解系统。
[0002]本专利技术主要被开发用于勒索软件攻击场景/具有勒索软件攻击场景，并且将在下文中结合本申请进行描述。然而，需要理解的是，本专利技术不限于该特定的使用领域，可以用于保护计算机化设备免受其他类似的恶意入侵，诸如用于网络间谍，网络破坏和知识产权盗窃。

技术介绍

[0003]众所周知，勒索软件为一种渗透到网络中并加密该网络上的文件的计算机病毒的类型。勒索软件攻击也可以采取恶意人员或黑客的形式，该恶意人员或黑客通过一系列的指令，手动加密整个互联网企业的目标文件，获取个人或组织的计算机和所附网络的安全访问。然而，防病毒保护自身的是不足以防止勒索软件攻击的。一旦足够多的文件被加密，恶意代码或不良行为者就会公开其存在，并要求赎金来解密已加密的文件。勒索软件正在成为对社会和产业越来越大的威胁，越来越多的大公司已经受到攻击，尤其是通过勒索软件，迫使公司要不支付勒索需要，或者擦除受影响的计算机的驱动器并重新安装已完成业务的应用程序。这可能导致在这些计算机上存储信息的非常重要的商业信息的丢失。在已经进行备份的情况下，并非所有信息都可能丢失，但是最后备份时的新信息可能会丢失。丢失的信息可以是来自前一天，前几天或者几周或者甚至是一个月的信息，这取决于执行备份的频率。此外，勒索软件攻击已经变得越来越复杂，其中勒索软件代码允许备份的信息也位于整个网络项目中并被加密。
[0004]勒索软件的一个问题是入侵者可以找到途径使用从计算机或网络的合法用户中窃取的用户名和密码进入该网络或计算机。此外，组织或用户的计算机操作系统中的已知或未知漏洞，网络基础设施硬件或软件可以允许在有或没有有效用户凭证的情况下恶意访问用户的网络项目。
[0005]这意味着使用勒索软件加密工具的勒索软件或入侵者将被允许访问计算机或网络，而无视密码所提供的安全量。
[0006]已经进行了一些尝试，一旦检测到勒索软件，通过备份被勒索软件加密的信息，以克服了由勒索软件所带来的问题。例如：Bashkar等人的US2016/0378988描述了一种反勒索软件缓解系统，该反勒索软件缓解系统识别已被写入权限打开的多个文件，创建每个相应打开文件的备份副本。然后该系统确定文件的打开频率是否高于阈值量，如果文件的打开频率超过阈值量，则该系统基于相应的备份副本，为用户提供恢复任何可能已加密的文件的能力。然而，使用该系统，备份副本也可能被勒索软件加密，并且软件可能无法对处于危险中的文件夺取控制，无法远离勒索软件进程以备份它们，并且阻止它们的加密和破坏。该系统和其他反病毒系统依赖于使用机器指令的勒索软件进程的终端，然而，可以对勒索软件进行编码以在关闭或编码时重新启动其自己的进程，以防止关闭。
[0007]可以发现许多种类的勒索软件，并且在本说明书中对术语"勒索软件"的任何引用都应当被认为是对任何形式的恶意入侵的引用，包括用于破坏，工业间谍和知识产权盗窃等。
[0008]任何关于本说明书任何一个或多个数字文件的“修改”和/或“修改速率”的监控应当包括但不限于选自读取的时间戳，访问的时间戳，修改的时间戳和任何数字文件的删除文件中的一个或多个的监控。该监控可通过访问数字文件的文件记录，通过监控数字文件本身，或者通过任何其他手段来进行。在包含的关于文件修改和/或访问模式的监控中还包括访问模式的监控，其中，该访问模式应该被解释为包括但不限于选自文件时间戳的读取和/或修改和/或删除，文件类型访问，文件的删除速率，给定一天内的网络流量的数量，总网络带宽和/或流量，机器学习和/或人工智能(AI)训练的异常访问模式的识别，访问模式与给定时间/日期内确定的模式的比较，用户类型(例如管理员)的数量，当前用户的数量或者其他合适的度量中的监控中的任意一个或多个。
[0009]整个说明书中对
技术介绍
的任何论述决不应被认为是承认这样的
技术介绍
是现有技术，并且也不承认这样的
技术介绍
是在澳大利亚或其他任何国家中的该领域中的公知常识中广泛已知或形成的部分。

技术实现思路

[0010]本专利技术旨在提供一种勒索软件保护系统和缓解勒索软件攻击的方法，其克服或极大地改善了现有技术中的至少一些缺陷，或者至少提供选择方案。
[0011]根据第一方面，本专利技术可以说在于：一种勒索软件缓解系统，其用于缓解来自勒索软件攻击而对网络连接上的一个或多个计算设备所造成的损害，该勒索软件缓解系统包括:a.数字存储介质，该数字存储介质被配置为存储数据和/或指令；b.处理器，该处理器可操作地连接到数字存储介质上并且被配置为由指令指引；以及；c.监控收发器，该监控收发器可操作地连接到处理器以用于传输和/或接收数字信息；d.其中，该处理器被配置为在指令的引导下执行以下步骤：
ⅰ
.针对在多个数字文件上执行的修改速率，监控多个数字文件；
ⅱ
.确定监控的修改速率是否满足预定活动阈值；以及
ⅲ
.致动选自以下各项中的一项或多项：1.一个或多个计算设备的强制关闭；以及2.一个或多个计算设备的网络连接的强制断开。
[0012]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.通过致动一个或多个计算设备中的机器代码级别的指令来致动该一个或多个计算设备的强制关闭。
[0013]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.通过致动一个或多个计算设备中的机器代码级别的指令来致动该一个或多个计算设备的强制关闭，其中，该指令即使在管理员级别也不能被抵消或终止。
[0014]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.通过致动一个或多个计算设备中的机器代码级别的指令来致动该一个或多个计算设备的强制关闭，使得该一个或多个计算设备停止除关闭程序之外的所有其他程序。
[0015]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.分配关闭文件的白名单，该关闭文件是关闭程序的一部分并且仅允许白名单过的关闭文件在强制关闭的致动时运行。
[0016]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.在一个或多个计算设备的强制关闭期间，防止白名单过的文件的修改。
[0017]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.创建白名单文件的锁定备份副本。
[0018]在一实施例中，白名单文件的备份副本被加密。
[0019]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.在白名单文件被修改或删除的情况下，从锁定的备份副本中恢复白名单文件。
[0020]在一实施例中，处理器被配置为在指令的引导下执行以下步骤：a.通过致动一个或多个关闭开关来致动一个或多个计算设备的强制关闭，其中，该关闭开关的致动为切断该一个或多个计算设备中的至少一个或多个的计算设备的电源。
[0021]在一实施例中，处理器被配本文档来自技高网...

【技术保护点】

【技术特征摘要】
【国外来华专利技术】1.一种勒索软件缓解系统，用于缓解来自勒索软件攻击对连接到网络的一个或多个计算设备所造成的损害，所述勒索软件缓解系统包括：a.数字存储介质，所述数字存储介质被配置为存储数据和/或指令；b.处理器，所述处理器可操作地连接到所述数字存储介质并且被配置为由指令指引；以及c.监控收发器，所述监控收发器可操作地连接到所述处理器，以用于传输和/或接收数字信息；d.其中，所述处理器被配置为由所述指令的引导以执行以下步骤：
ⅰ
.针对在多个数字文件上执行的修改速率，监控所述多个数字文件；
ⅱ
.确定所述监控的修改速率是否满足预定活动阈值；以及
ⅲ
.致动选自以下各项中的一项或多项：1.所述一个或多个计算设备的强制关闭；以及2.所述一个或多个计算设备的网络连接的强制断开。2.根据权利要求1所述的勒索软件缓解系统，还包括用于通信信息的监控设备收发器。3.根据权利要求1所述的勒索软件缓解系统，其中，所述处理器被配置为在所述指令的引导下以执行以下步骤：a.分配关闭文件的白名单，所述关闭文件是关闭程序的一部分并且仅允许白名单过的关闭文件在所述强制关闭的致动时运行；以及b.在所述一个或多个计算设备的所述强制关闭期间，防止所述白名单过的文件的修改。4.根据权利要求1所述的勒索软件缓解系统，其中，所述处理器被配置为由所述指令的引导以执行以下步骤：a.通过致动一个或多个关闭开关来致动所述一个或多个计算设备的强制关闭，其中，所述关闭开关的致动为切断所述一个或多个计算设备中的至少一个或多个的计算设备的电源。5.根据权利要求1所述的勒索软件缓解系统，其中，所述处理器被配置为由所述指令的引导以执行以下步骤：a.通过致动至少一个或多个关闭开关来致动在连接到所述一个或多个计算设备的网络中的一个或多个通信设备的强制关闭，其中，所述至少一个或多个关闭开关的致动为切断所述一个或多个网络通信设备的至少一个或多个的网络通信设备的电源。6.根据权利要求1所述的勒索软件缓解系统，其中，所述勒索软件保护系统包括可由所述处理器致动的至少一个或多个关闭开关。7.根据权利要求1所述的勒索软件缓解系统，其中，所述处理器被配置为由所述指令的引导以执行以下步骤：a.确定所述文件修改的速率已超过所述阈值的所述计算设备(“受影响的计算设备”)的网络位置。8.根据权利要求1所述的勒索软件缓解系统，其中，所述勒索软件缓解系统包括硬件锁。9.根据权利要求1所述的勒索软件缓解系统，其中，所述硬件锁被配置为由硬件密钥在
以下两种状态间操作：a.解锁状态；以及b.锁定状态。10.根据权利要求1所述的勒索软件缓解系统，其中，所述处理器被配置为由所述指令的引导以执行以下步骤：a.接收对所述勒索软件缓解系统的系统文件的修改请求；b.确定所述硬件锁是否处于其解锁状态；以及c.在所述硬件锁处于其解锁状态的情况下，仅允许处理所述勒索软件缓解系统的系统文件的修改请求。11.根据权利要求6所述的勒索软件缓解系统，其中，所述关闭开关包括关闭开关收发器，所述关闭开关收发器被配置为与选自监控收发器中的一个或多个关闭开关收发器通信，以及与其他类似的关闭开关上的一个或多个关闭开关收发器通信。12.根据权利要求11所述的勒索软件缓解系统，其中，所述关闭开关收发器被配置为与选自所述监控设备收发器中的一个或多个关闭开关收发器通信，以及与独立于与所述计算设备相连接的网络的网络上的其他类似的关闭开关上的一个或多个关闭开关收发器通信。13.根据权利要求11所述的勒索软件缓解系统，其中，所述关闭开关收发器被配置为接收来自所述监控设备收发器的致动信号。14.根据权利要求13所述的勒索软件缓解系统，其中，所述关闭开关收发器被配置为在接收所述致动信号时，断开和/或闭合一个或多个电路。15.根据权利要求11所述的勒索软件缓解系统，其中，所述关闭开关收发器被配置为以固定间隔接收来自所述监控设备收发器的同步确认信号。16.根据权利要求15所述的勒索软件缓解系统，其中，所述关闭开关被配置为在以预期间隔未接收到确认信号的情况下，断开和/或闭合所述电路。17.根据权利要求15所述的勒索软件缓解系统，其中，所述关闭开关被配置为在没有连续接收到确认信号的情况下，断开和/或闭合所述电路。18.根据权利要求6所述的勒索软件缓解系统，其中，所述关闭开关包括：a.开关处理器；以及b.开关数字存储介质，所述开关数字存储介质被配置为存储选自数据和软件指令中的一个或多个。19.根据权利要求18所述的勒索软件缓解系统，其中，所述开关处理器被配置为由所述开关软件指令指引以：a.在切换设备处断开和/或闭合电路，所述切换设备被配置为切换选自以下的一个或多个：
ⅰ
.到...

【专利技术属性】
技术研发人员：克里斯托弗，
申请(专利权)人：克里斯托弗，
类型：发明
国别省市：