[发明专利]一种勒索软件的防护方法、装置、电子设备及存储介质

说明书

本发明公开了一种勒索软件的防护方法、装置、电子设备及存储介质，所述方法包括：电子设备如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在修改操作文件中保存所述信息的记录时间；根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；如果是，阻断所述进程对文件进行修改操作。在本发明实施例中能够有效地提高针对勒索软件的防护能力。

技术领域

本发明涉及信息安全技术领域，尤其涉及一种勒索软件的防护方法、装置、电子设备及存储介质。

背景技术

勒索软件是计算机恶意软件的一种类型，通常通过电子邮件和木马病毒进行传播，感染用户计算机或手机等电子设备，感染后通过多种复杂的加密算法或者修改用户的文件等一种方式或几种方式的结合来加密用户的文件，使用户无法正常访问文件，从而向用户索要用于恢复文件的赎金。勒索软件的目标通常是用户的个人数据，包括文档、数据库、源代码、图片、视频等等，赎金货币通常是比特币。勒索软件在近年来开始大规模爆发，已经有数百万人成为了勒索软件的受害者。一旦用户数据被勒索软件加密，只有勒索软件作者才能解密，但即使用户支付赎金，也不能保证其文件一定能得到解密。如果是用户的重要数据被加密，就很有可能面临无法恢复的风险，给用户造成非常大的损失，因此需要针对勒索软件进行防护。

现有技术中针对勒索软件的防护方法通常是，利用杀毒软件扫描软件特征的方式发现已知类型的勒索软件，如果发现，则立即阻断勒索软件，但是如果勒索软件特征发生变化，杀毒软件就可能无法检测出，防护能力低。

发明内容

本发明提供一种勒索软件的防护方法、装置、电子设备及存储介质，用以解决现有技术中存在针对勒索软件防护能力低的问题。

为了解决上述存在的问题，本发明提供了一种勒索软件的防护，应用于电子设备，该方法包括：

如果监控到系统中的进程对文件进行修改操作，将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中，并在所述修改操作文件中保存所述信息的记录时间；

根据所述修改操作文件中所述记录时间之前的设定的第一记录时长内，所述进程对应的每条第一目标修改操作的信息，判断所述进程是否为勒索软件进程；

如果是，阻断所述进程对文件进行修改操作。

进一步地，在所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中之前，所述方法还包括：

判断所述进程的信息是否保存在勒索软件进程黑名单中；

如果是，阻断所述进程对文件进行修改操作；

如果否，进行后续步骤。

进一步地，所述将所述进程对所述文件进行的修改操作的信息记录到修改操作文件中包括：

根据所述修改操作的类型，将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中。

进一步地，所述根据所述修改操作的类型，将所述修改操作的类型对应的修改操作的信息记录到修改操作文件中包括：

如果所述修改操作的类型为写操作，则记录所述进程的标识信息、所述文件的标识信息、所述文件中被修改的内容的起始位置的信息、被修改的内容的长度的信息及所述长度对应的被修改的内容的信息；

如果所述修改操作的类型为重命名操作，则记录所述进程的标识信息、修改前的文件名及修改后的文件名，其中所述重命名操作包括对文件主名的重命名和对文件后缀名的重命名；

如果所述修改操作的类型为创建操作，则记录所述进程的标识信息及创建的所述文件的文件名；