[发明专利]对云驱动器文件夹上勒索软件攻击的补救

说明书

提供了一种通过云服务用于检测对客户端设备的勒索软件攻击的系统。系统监测对由云服务存储的客户端设备的文件的更改。系统评估对文件的更改是否看似是恶意的，因为该更改可能是由勒索软件导致的。当对文件的更改看似是恶意的时，系统执行对策，以防止客户端设备的文件与其它客户端设备的同步以及与云服务的同步，来防止来自正在遭受勒索软件攻击的客户端设备的文件的传播。

背景技术

勒索软件是拒绝受害人访问他们的文件并然后要求支付赎金以换取允许访问的恶意软件。例如，勒索软件可以加密受害人的文件，并然后在收到赎金后向受害人提供用于解密文件的密钥。勒索软件可以经由特洛伊木马被安装在受害人的计算机上，特洛伊木马看似是合法的程序，但实际上包含恶意软件。如果支付了赎金，但却未从受害人的计算机移除勒索软件，那么该勒索软件可以再次重复加密文件并要求支付赎金的过程。

一种众所周知的勒索软件是Locky，其发布于2016年。勒索软件作为包含恶意宏的电子邮件附件到达。当用户打开该附件时，如果内容看似是乱码，则该附件请求用户启用宏，因为内容确实是乱码时会这样做。当用户启用宏时，恶意软件被下载并被执行。勒索软件加密文件，并用唯一的16个字符的字母数字名称和“locky”扩展名对这些文件进行重命名。然后指示用户访问网站以获得进一步指示。该网站要求支付价值在350美元到750美元之间的比特币。当付款完成后，解密密钥会被提供给用户，然后用户可以解密文件。

勒索软件是一个影响全世界数百万台计算机的日益严重的问题。另一众所周知的勒索软件(被称为CryptoWall)估计已经收到了超过 1800万美元的赎金。此外，勒索软件攻击者在2016年上半年估计已经获得了超过10亿美元的收入。

鉴于云计算的快速发展，勒索软件一直以云存储为目标也就不足为奇了。通常，用户会设置他们的计算机以便经由基于云的存储装置使被存储在他们的计算机上的文件与他们的其它设备同步。一旦文件被勒索软件加密，则与被加密文件同步的文件的所有副本也会被加密。因此，如果用户有多个设备(例如，工作台式电脑、家用台式电脑、笔记本电脑、以及智能手机)，那么每个设备和云存储装置上的文件的副本都将被加密。

一个云存储供应商意识到了这个问题并指出：如果在30天内检测到加密，则可以恢复文件的先前版本。在一些实例中，可能不能够重新生成自在前版本以来所做的更改，或者重新生成更改的成本可能远远超过赎金。一些云存储供应商可能允许用户一次只恢复一个文件，而数千个文件可能已经被加密了，这使得恢复至少非常繁琐并且可能是不可行的。此外，一些用户可能不会检测到加密直到太晚以至于无法检索到在前版本。

发明内容

提供了一种用于通过云服务检测对客户端设备的勒索软件攻击的系统。该系统监测对由云服务存储的客户端设备的文件的更改。该系统评估对文件的更改是否看似是恶意的，因为更改可能是由勒索软件导致的。当对文件的更改看似是恶意的时，该系统执行对策，以防止客户端设备的文件与其它客户端设备的同步以及与云服务的同步，来防止来自正遭受勒索软件攻击的客户端设备的文件的传播。

附图说明

图1是图示了一些实施例中的ARC系统的总体处理的流程图。

图2是图示了在一些实施例中的ARC系统内的信息流的框图。

图3是图示了在一些实施例中的ARC系统的组件以及与ARC系统进行接口连接的组件的示例布置的框图。

图4是图示了在一些实施例中的ARC系统的文件事件处理器组件的处理的流程图。

图5是图示了在一些实施例中的ARC系统的实时勒索软件检测器组件的处理的流程图。

图6是图示了在一些实施例中的ARC系统的勒索软件处理器组件的处理的流程图。

图7是图示了在一些实施例中的ARC系统的对策处理器组件的处理的流程图。

图8是图示了在一些实施例中的ARC系统的通知用户组件的处理的流程图。