[发明专利]一种勒索软件的防范方法及装置

说明书

本发明实施例提供了一种勒索软件的防范方法及装置，所述方法包括：在系统内文件中确定第一目标文件，所述第一目标文件为勒索软件会攻击的文件；至少确定所述第一目标文件的名称、后缀及访问路径，并进行匹配存储；对所述第一目标文件进行处理形成第二目标文件，所述第二目标文件为所述勒索软件会忽略攻击的文件；响应于输入指令，结合存储的所述第一目标文件的信息以及所述输入指令对所述第二目标文件进行匹配处理。本发明的勒索软件的防范方法能够简单有效地防范勒索软件攻击文件。

技术领域

本发明实施例涉及网络安全技术领域，特别涉及一种勒索软件的防范方法及装置。

背景技术

勒索软件是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上的文档、邮件、数据库、源代码、图片、压缩文件等多种文件进行某种形式的加密操作，使之不可用，在无密码的情况下数据不可逆转，或者通过修改系统配置文件、干扰用户正常使用系统的方法使系统的可用性降低，然后通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知，要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。

现有技术中对勒索软件的防范方案有主要有四种：第一种方案是利用杀毒引擎扫描特征的方式发现已知的勒索软件；杀毒引擎是杀毒软件的主要部分，是去检测和发现病毒的程序，而病毒库是已经发现的病毒的标本，用病毒库中的标本去对照机器中的所有程序或文件，看是不是符合这些标本，是则是病毒，否则就不一定是病毒(因为还有很多没有被发现的或者刚刚产生的病毒)，但是由于杀毒引擎的病毒库都是已知的并且收集到的样本通过提取特征产生的，因此就无法防范未知的没有收集到的样本，基于这种原理的方案也就无法检测出未知的勒索软件；并且由于病毒库的是基于样本的二进制数据提取特征而得，而杀毒引擎是基于这个特征符合度去判断一个未知文件是否为病毒(勒索软件)，因此，哪怕已知的样本，只要改掉被杀毒引擎判断为特征的二进制数据，杀毒引擎就无法检测出来了，所以第一种方案哪怕对已知的病毒及勒索软件也有无法检测出来的缺点(只要改掉特征码的话)。同时特征查杀需要消耗大量的人力资源。

第二种方案是利用文件备份来防范勒索软件，其主要原理就是在一个时间段内，对可读写磁盘被修改和删除操作的文件进行备份，这样当这个时间段内磁盘上面的文件被勒索软件加密的话，可以通过备份文件来找回被加密的文件了，但是第二种方案的缺点就是需要占用大量的磁盘空间。

第三种方案是在操作系统中部署哨兵文件，因为勒索软件加密中必须递归遍历全盘文件，随后进行加密。因此通过文件的命名方式使得哨兵文件在遍历时第一个被处理，定时检查对比哨兵文件是否存在改变来判定是否被勒索病毒感染。此种方式的缺点是，需要产生大量无意义的无后缀的文件占用大量磁盘空间。

第四种方案是通过编写驱动文件过滤或拦截文件处理相关函数，加密算法API，当文件发生修改的事件发生时，对比修改前后文件的内容以及是否对文件使用加密处理方式进行判定是否感染病毒。这种方案的缺点是驱动文件的编写对技术要求较高，影响系统的稳定性，容易导致系统崩溃。并且系统内所有文件处理都将运行一遍驱动程序的检查代码，大量消耗CPU资源。

发明内容

本发明提供了一种能够简单有效地防范勒索软件攻击文件的勒索软件的防范方法及装置。

为了解决上述技术问题，本发明实施例提供了一种勒索软件的防范方法，包括：

在系统内文件中确定第一目标文件，所述第一目标文件为勒索软件会攻击的文件；

至少确定所述第一目标文件的名称、后缀及访问路径，并进行匹配存储；

对所述第一目标文件进行处理形成第二目标文件，所述第二目标文件为所述勒索软件会忽略攻击的文件；

响应于输入指令，结合存储的所述第一目标文件的信息以及所述输入指令对所述第二目标文件进行匹配处理。

作为一可选实施例，所述在系统内文件中确定第一目标文件，包括：