[发明专利]一种勒索者病毒的检测方法及系统

说明书

技术领域

本发明涉及信息安全技术领域，尤其涉及一种勒索者病毒的检测方法及系统。

背景技术

勒索软件是近两年比较流行的病毒，尤其是在2016年我国勒索软件成爆发式增长。勒索软件一旦感染系统，它会加密电脑磁盘的文档文件、图片文件、文本文件等，加密成功后会通过网页文件、TXT文件、屏幕保护图片等方式来通知用户在一定时间内支付赎金后才会给予解密的方式。勒索软件作者会使用非常复杂的随机非对称加密手段加密用户数据，只有恶意代码作者能对其解密。在某种程度上就算用户支付赎金给恶意代码作者，也可能无法解密数据，这对于拥有重要资源的企业和部门是一个灾难性的事件，比如：医疗部门、银行、政府部门一旦遭受勒索软件攻击，就会使各业务系统瘫痪，损失不可估计。

目前主流杀毒软件都有文件防护功能，可以保证文件不被恶意篡改，但是这种做法可能同时影响正常软件对于文件的操作，即使通过白名单机制可以保证放行一部分软件的正常访问，但是不能保证所有安全程序对文件的操作。同时，白名单技术也不能保证文件不被恶意程序篡改，因此对于勒索者并不适用，因为目前很多勒索者病毒是通过注入白名单进程来释放攻击的，如explorer或svchost进程。

发明内容

针对上述技术问题，本发明所述的技术方案通过感知文件的变化范围来判定是否存在疑似勒索者病毒，进而提升对勒索者病毒的检出率，并同时降低误报。

本发明采用如下方法来实现，包括：

若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；

对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；

若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。

进一步地，在判定为疑似勒索者病毒之后，还包括：将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。

更进一步地，在判定为疑似勒索者病毒之后，还包括：

若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；

若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。

上述方法中，在判定为疑似勒索者病毒之后，还包括：删除被加密的文件并将备份的文件恢复到原来位置。

本发明可以采用如下系统来实现，包括：

文档备份模块，用于若存在修改文件的进程，则挂起进程并备份文件至可读区域，备份完成后放行该进程；

加密判定模块，用于对比修改后的文件与备份的文件的熵值，判定当前进程是否对文件进行了加密操作；

勒索判定模块，用于若存在加密操作则收集被加密的所有文件，并判断具备相同扩展名的文件所占比例是否超过预设值，若是则继续判断具备相同扩展名的文件的文件名是否长度一致并存在部分相同字符串，若是则判定为疑似勒索者病毒。

进一步地，还包括：恶意特征记录模块，用于将相同扩展名、文件名中的相同字符串部分存入特征库，用于后续分析。

更进一步地，还包括：恶意域名记录模块，用于若被加密的文件所在文件夹内存在html文件或者txt文件，则进一步判断所述html文件或者txt文件内是否存在URL链接，若存在则提取所述URL链接并存入特征库；

若被加密的文件所在文件夹内不存在html文件或者txt文件，则遍历非加密文件中是否存在URL链接，若存在则提取所述URL链接并存入特征库。

上述系统中，还包括：文档恢复模块，用于删除被加密的文件并将备份的文件恢复到原来位置。

综上，本发明给出一种勒索者病毒的检测方法及系统，本发明若发现存在修改文件的进程，则首先判断是否是针对文件的加密操作；若是则继续判断该进程所加密的文件中，具备相同扩展名的文件占所有文件的比例是否超过预设值，若是则继续判断这些具备相同扩展名的文件的文件名是否长度一致，并同时存在部分相同字符串，若是则判定为疑似勒索者病毒。

有益效果为：本发明所述技术方案通过监控文件是否被批量加密，被加密后的文件的扩展名和文件名的形态是否满足判定条件，进而准确判定是否是勒索者病毒。

附图说明