[发明专利]一种针对恶意加密软件的防护方法及装置

权利要求书

1.一种针对恶意加密软件的防护方法，其特征在于，所述方法包括：

监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作，所述未知应用程序是不能确定安全性的应用程序；

若存在，则在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份；

判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据，所述特征数据为恶意加密软件的特征数据；

若存在，则终止所述未知应用程序的执行过程，利用所述数据文件的备份文件替换被修改的数据文件。

2.根据权利要求1所述的方法，其特征在于，所述终止所述未知应用程序的执行过程，利用所述数据文件的备份文件替换被修改的数据文件包括：

发送报警信息，所述报警信息用于提示所述未知应用程序疑似恶意加密软件，获取用户的操作指令；

当所述操作指令为终止执行指令时，结束所述未知应用程序的进程；

利用所述数据文件的备份文件替换被修改的数据文件。

3.根据权利要求1所述的方法，其特征在于，所述监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作包括：

当应用程序启动执行时，识别所述应用程序的安全性；

若无法确定所述应用程序的安全性，则确定所述应用程序为未知应用程序；

监控所述未知应用程序是否加载指定的数据文件。

4.根据权利要求3所述的方法，其特征在于，在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份包括：

当所述未知应用程序存在修改所述数据文件的操作时，输出提示信息，以判断是否继续执行修改所述数据文件的操作；

若继续执行，则在修改所述数据文件之前对所述数据文件进行备份。

5.根据权利要求1-4中任一项所述的方法，其特征在于，所述判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据包括：

获取恶意加密软件的特征数据，所述特征数据包括加密格式信息、解密提示信息；

根据所述特征数据匹配所述未知应用程序修改所述数据文件的内容；

若匹配成功则确定所述未知应用程序为疑似恶意加密软件。

6.一种针对恶意加密软件的防护装置，其特征在于，所述装置包括：

第一判断单元，用于监控未知应用程序的执行过程，判断所述未知应用程序是否存在修改指定的数据文件的操作，所述未知应用程序是不能确定安全性的应用程序；

备份单元，用于当所述第一判断单元判断存在修改指定的数据文件的操作时，在所述未知应用程序修改所述数据文件之前对所述数据文件进行备份；

第二判断单元，用于判断所述未知应用程序修改所述数据文件的内容中是否存在特征数据，所述特征数据为恶意加密软件的特征数据；

替换单元，用于当所述第二判断单元确定修改所述数据文件的内容中存在所述特征数据时，终止所述未知应用程序的执行，利用所述备份单元复制所述数据文件的备份文件替换被修改的数据文件。

7.根据权利要求6所述的装置，其特征在于，所述替换单元包括：

发送模块，用于发送报警信息，所述报警信息用于提示所述未知应用程序疑似恶意加密软件，获取用户的操作指令；

终止模块，用于当所述用户的操作指令为终止执行指令时，结束所述未知应用程序的进程；

替换模块，用于利用所述数据文件的备份文件替换被修改的数据文件。

8.根据权利要求6所述的装置，其特征在于，所述第一判断单元包括：

识别模块，用于当应用程序启动执行时，识别所述应用程序的安全性；

确定模块，用于当所述识别模块无法确定所述应用程序的安全性时，确定所述应用程序为未知应用程序；

监控模块，用于监控所述确定模块确定的未知应用程序是否加载指定的数据文件。

9.根据权利要求8所述的装置，其特征在于，所述备份单元包括：

输出模块，用于当所述未知应用程序存在修改所述数据文件的操作时，输出提示信息，以判断是否继续执行修改所述数据文件的操作；

备份模块，用于当所述输出模块输出的提示信息的反馈信息为继续执行修改操作时，在修改所述数据文件之前对所述数据文件进行备份。

10.根据权利要求6-9中任一项所述的装置，其特征在于，所述第二判断单元包括：

获取模块，用于获取恶意加密软件的特征数据，所述特征数据包括加密格式信息、解密提示信息；

匹配模块，用于根据所述获取模块获取的特征数据匹配所述未知应用程序修改所述数据文件的内容；

确定模块，用于当所述匹配模块匹配成功时，确定所述未知应用程序为疑似恶意加密软件。