[发明专利]一种用于检测和阻止恶意勒索软件攻击的方法

权利要求书

1.一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，包括监控模块、更改模块、策略模块和预防模块；

所述方法，还包括如下步骤：

步骤1、监视注册表活动；

步骤2、检测到的恶意更改；

步骤3、若否，则返回到步骤1；

步骤4、若检测到恶意更改，则检查更改的文件注册表值是否超过阈值；

步骤5、若没有超过阈值，则返回到步骤1；

步骤6、若超过阈值，意味着发生了恶意的勒索攻击，则在攻击者加密文件内容的位置创建一个大型的虚拟文件；

步骤7、更改未被侵入的文件属性；

步骤8、创建被侵入的文件列表和安全的文件列表；

步骤9、验证安全的文件列表；

步骤10、若不安全，则返回到步骤1。

2.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述监控模块， 监视文件夹/目录，该模块检测目录内容注册表中的任何更改，使用了有效更改的阈值，如果试图更改任何文件的注册表值超过阈值，则会将其标识为可能的恶意活动。

3.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述更改模块，生成被侵入的文件列表，该模块使用在监控模块中收集的信息来生成被侵入的文件列表，用户会被告知存在可疑活动，并向用户显示被侵入的文件列表。

4.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述策略模块，生成大型的随机文件，一旦识别出攻击，则就会在攻击位置生成一个大型的虚拟文件，以减缓攻击和采取相应的措施来阻止对文件系统的进一步修改。

5.如权利要求1所述的一种用于检测和阻止恶意勒索软件攻击的方法，其特征在于，所述预防模块，更改剩余的文件属性，当攻击者忙于加密/或修改大型虚拟文件时，该模块会更改其余的文件属性，使攻击者无法在系统中执行进一步的修改。